Використання Internet у банківському обслуговуванні клієнтів

забезпечення оперативного отримання звітної інформації по діючих і закритих кредитах;

можливість проведення розрахунку по кредиту за будь-який попередній і подальший період часу.

Сукупність функцій управління кредитами з метою їх автоматизації об'єднують в комплекси: прогнозування й планування, облік і контроль, аналіз і регулювання. Кожний з цих комплексів виконується на відповідній стадії технології обробки інформації за допомогою закріплених апаратних і програмних засобів, тобто на виділених автоматизованих робочих місцях (АРМ).

В Промінвестбанку автоматизовані функції підсистеми управління кредитами за стадіями технології мають наступну характеристику.

Прогнозування й планування: визначення стратегії кредитування; формування портфеля заявок за кредитами; розрахунок кредитоспроможності клієнтів; оцінка ризику під час кредитування; планування рентабельності операцій; складання угод про кредит; складання плану-графіка кредитування; складання плану-графіка виплати процентів за кредитами; складання плану-графіка погашення кредитів; розрахунок резервів за кредитами.

Облік і контроль: відкриття рахунків; облік операцій за кредитними рахунками; нарахування процентів; контроль за виконанням угод.

Аналіз і регулювання: формування звітів; аналіз, підтримання рішень.

Ці функції, а також формування портфеля заявок належать до класу завдань стратегічного маркетингу. Кожне таке завдання розв'язується не для кожного кредиту окремо, а загалом для процесу кредитування на певний період. Для автоматизації цієї функції у банку застосовуються типові пакети програм статистичного аналізу даних (статистичні функції EXSEL).

На решті стадій технології обробки інформації автоматизуються функції, що пов'язані з конкретними кредитами.

Автоматизація розрахунку кредитоспроможності позичальника полягає у визначенні показників, що характеризують акуратність останнього щодо розрахунків за раніше отриманими кредитами, його поточний фінансовий стан і перспективи змін, а також спроможність у разі потреби мобілізувати кошти з різних джерел і забезпечити оперативну конверсію активів у ліквідні кошти.

Методика визначення показників кредитоспроможності полягає в наступному. Згідно з даними бухгалтерської та статистичної звітності клієнта обчислюють значення відповідних коефіцієнтів і порівнюють їх із нормативними. На підставі такого порівняння видаються рекомендації про можливість надання кредиту. Якщо потрібний глибший аналіз, вивчається поточна виробнича діяльність клієнта, беруться до уваги звітні дані за більший проміжок часу і обчислюються додаткові показники.

Вхідна інформація для обчислення вибирається з документів, що надійшли від клієнта, нормативно-довідкових баз даних і баз даних поточної інформації, що містяться на АРМ кредитного відділу. Від клієнта надходять такі документи: заява на кредит, статут підприємства, установчий договір, реєстраційне посвідчення, баланс підприємства, звіт про фінансові результати. На підставі цих документів створюються масиви “Вхідні дані”, “Баланс підприємства”, “Фінансові результати”, “Оцінка кредитоспроможності”, “Кредитна історія позичальника”, “Документація”, “Висновок”, в яких фіксуються всі потрібні для обчислення показники. Нормативно-довідкову інформацію для встановлення кредитоспроможності беруть із довідника клієнтів, довідника статей балансу, довідника статей фінансового звіту, довідника нормативних показників і методичних рекомендацій НБУ з визначення кредитоспроможності, а також архівних файлів, де містяться відомості про всі видані банком кредити.

Використовуючи інформацію зі згаданих щойно баз даних, на АРМ кредитного відділу за допомогою спеціального пакета програм обчислюють показники кредитоспроможності позичальника.

Автоматизація ведення кредитних угод полягає у виконанні таких процесів: заведення нових угод, огляд списку угод, редагування окремих записів, вилучення окремих угод.

Заведення нової угоди зводиться до послідовного заповнення таких полів файла угод: номер угоди, код валюти, реєстраційний номер і назва клієнта банку, вид кредиту, дати початку і закінчення дії угоди, сума угоди, процентна ставка, тип особового рахунку, номер особового рахунку для угоди і статус угоди. Список угод оглядають через екранну форму документа, куди викликаються записи з файла угод із заданими користувачем ознаками (номер угоди, реєстраційний номер та назва клієнта і т. ін.). Під час огляду не можна вносити зміни до полів. Для цього використовується спеціальна процедура “редагування”.

Автоматизація обліку операцій на кредитних рахунках виконується за типовою схемою обробки вхідних документів. Вхідними документами під час відображення на рахунках кредитних операцій слугують розпорядження чи меморіальні ордери на зарахування коштів на рахунок, а також прибуткові і видаткові документи.

Першою операцією в технології обробки вхідних повідомлень є ручне введення документів операціоністом через екранні шаблони. Під час такого введення здійснюється програмний контроль інформації, записуваної в поля вхідного файла. В операційному дні банку (ОДБ) передбачене повторне введення документів уже іншими виконавцями у режимі “Контрольный ввод”. Коли на екрані з'являється повідомлення “Документ найден”, інформація передається на наступну операцію - оплату документа, тобто запис заноситься до файла платіжних документів дня - господарська операція відображується на бухгалтерських рахунках. Основну базу даних організовано так, що можна на задану дату визначити рух коштів і використати відповідні показники для обчислення процентів за кредитами.

Нарахування процентів за кредитами здійснюється спеціальним програмним модулем щодо всіх клієнтів або за вказаними рахунками. Програма дає змогу на початку розрахунку змінити через екранну заставку процентну ставку. Результати обчислень записуються у спеціальний файл, з якого інформація після огляду на екрані записується в основну базу даних.

Контроль виконання угод за кредитами здійснюють спеціальними програмними засобами і запускають за допомогою екранного меню, де зазначаються функції персонального і групового контролю за угодами.

Персональний контроль означає, що на екрані після вказаних типу та номера угоди видаються зміст угоди і дані з кредитних рахунків: суми залишку та руху коштів, відомості щодо нарахування та сплати сум за процентами.

Груповий контроль за кредитами здійснюється на підставі фактичних даних, сформованих на екрані, а при потребі - на підставі виданих до друку таблиць.

Перелік таких таблиць задається в меню і користувач вказує, які таблиці слід складати. У них наводяться суми та процентні ставки за кредитами у межах дня, обороти за окремими позичковими рахунками протягом зазначеного періоду, кількість угод, суми і процентні ставки за кредитами. Щодо трьох останніх документів задається період або дата, на яку складається документ.

Формування звітів за кредитами здійснюється автоматично на підставі баз даних оперативної інформації, що сформовані пакетом програм ОДБ.

Для цього використовується пакет програм АРМ зі статистичної звітності. В екранному меню цього пакета задається перелік звітів, які слід складати на задану дату. Таким чином, без належного розвитку інформаційних систем і технологій банку щодо автоматизації кредитних операцій не можливий своєчасний та оперативний процес обслуговування клієнтів. Тому програми, якими оснащені робочі місця робітників кредитного відділу дозволяють вчасно та правильно виконати покладені на них обов'язки. Використання автоматизованих банківських систем дозволяє банкам скоротити витрати і час на обслуговування клієнтів, контролювати виконання банківських операцій у реальному масштабі часу, приймати обґрунтовані рішення у найкоротший термін, що впливає на якість роботи і конкурентноздатність банківських установ.

Розділ 3. Перспективи розвитку інтернет-банкінгу на сучасному етапі діяльності банківської системи

3.1 Економічна вигода та ефективність використання вже існуючої в банку технічної бази

Internet і взагалі банківські послуги вдома роблять свій вплив на відділення банків, банкомати і банківські центри обігу. Проте, сьогодні системи такого типу ще не дуже поширені. Розвиток таких систем сильно стримується відсутністю чітких правових основ комерційних розрахунків в кіберпросторі. Крім того, залишаються актуальними проблеми безпеки таких розрахунків.

Потрібно відзначити, що якість ліній в Україні поки обмежує надійність роботи в режимі on-line. Швидкості передачі обмежені, що веде до істотного збільшення часу при роботі з великими об'ємами даних, особливо через міжнародні шлюзи.

Всі вищезазначені проблеми сильно уповільнюють впровадження технологій на базі Internet в Українських банках. Клієнти в основному не мають доступу до відділень банку через електронну пошту або вузол Web. Найпоширенішим застосуванням Internet українськими банками залишається розповсюдження рекламної інформації в WWW.

Проте не слід забувати, що зараз мережа Internet є єдиною глобальною системою, яка об'єднує всі існуючі в світі комп'ютерні мережі - від національних до приватних. До неї підключені, за останніми оцінками, близько 50 млн. комп'ютерів. Ця всесвітня "мережа мереж" є комп'ютерною структурою, що найшвидше розвивається, в світі, а загальне число її користувачів збільшується кожного місяця на 12%. Відносна простота використання і невисока вартість сприяють швидкому зростанню числа користувачів послугами Internet. Це значно розширює аудиторію, на яку націлені комерційні компанії.

Прогрес у галузі використання мережі Internet банками (у тому числі і українськими) неминучий, і незабаром неможливо буде уявити собі діяльність банку без використання Internet.

При впровадженні нової послуги максимально використовується програмне забезпечення що вже є в банку. Даний шлях полягає в установці системи, призначеної для обробки транзакцій в 'он-лайні' що нессе в собі елементи Інтернет-банкинга. Будучи доступною 24 години в добу, ця система бере на себе обслуговування операцій клієнтів у реальному часі, а обмін з бэк-офисом банку здійснюється файлами в офф-лайні з періодичністю потрібної даному конкретному банку. Іншими словами, банк вибудовує міцний міст між своїм віртуальним відділенням в Інтернеті і бэк-офисом, що дозволяє проводити основні банківські операції включаючи отримання виписок, переказ коштів з рахунку на рахунок, внесення грошей на депозит і т.д. Таким чином, клієнт отримує можливість оперувати з своїми рахунками будь-яким чином - з відділення банку через касу, через банкомат, робити покупки і мати доступ до проведення операцій по рахунках з свого домашнього комп'ютера, а банк виходить на якісно новий рівень надання банківських послуг.

Але, існують неаби-які технічні проблеми навіть і в цьому рішенні. По-перше, реалізація. На додаток до звичайних труднощів отут добавляються ті, що пов'язані з вибором інструмента і програмної технології. Не вщухають спори на тему, чому віддати перевагу: Java або ActiveХ, HTML або щось ще?

Слід зазначити, що більшість підходів ще не устоялося, тому реалізувати рішення, що свідомо працювало б скрізь, із усіма версіями браузерів, не вдасться. Усе ж у главу кута повинна бути поставлене не «просування» продукту, а зручність клієнтів, інакше для чого взагалі городити весь цей город? Старі перевірені технології вже не відповідають вимогам сьогоднішнього дня (HTML - самий яскравий приклад), що змушує виробників вишукувати і випробувати нові засоби розробки.

По-друге, створення потрібної конфігурації. Складність полягає у величезній розмаїтості системного програмного забезпечення для Інтернет-комплексів. Сюди ж відноситься проблема вибору Веб-сервера, проксі-сервера, брандмауера, поштового серверу, FTP-серверу і т.д. і т.п. Додайте до цього кількість компаній-виробників подібних засобів, і ви зрозумієте, що задача установки і настройки необхідного для роботи устаткування і ПО зовсім не тривіальна. Внаслідок цього тут звичайно починають домінувати кадровий і фінансовий підходи -- перевага віддається системам, що або знайомі співробітникам відділів автоматизації, або будуть простіше в освоєнні, або фахівці з яких обійдуться банку дешевше. До речі, саме тому непогані шанси має ПЗ компанії Microsoft, адже відомо, що знавці в області Unix зустрічаються рідше і на ринку праці коштують дорожче.

3.2 Зростання соціального фактору в обгрунтуванні необхідності впровадження Інтернет-банкінгу в масове використання

Більшість продавців, що працюють з широким колом приватних клієнтів, мають бути зацікавлені в широкому розповсюдженні послуг інтернет-банкінга. Тоді їм довелося б менше турбуватися про своєчасне надходження засобів від своїх клієнтів. Крім того, споживачі, яким є чим віддалено керувати в банках, є дуже привабливими потенційними клієнтами для будь-якого продавця. І чим більше таких споживачів, тим краще!

Привабливість роздрібних банківських онлайн-послуг очевидна - можна управляти своїм рахунком і робити необхідні платежі у будь-який час доби і з будь-якого місця. Для банку вигоди також в наявності - вартість транзакцій різко падає. При впровадженні нової послуги максимально використовується програмне забезпечення що вже є в банку. Даний шлях полягає в установці системи, призначеної для обробки транзакцій в 'он-лайні' що несе в собі елементи Інтернет-банкинга. Будучи доступною 24 години в добу, ця система бере на себе обслуговування операцій клієнтів у реальному часі, а обмін з бэк-офисом банку здійснюється файлами в офф-лайні з періодичністю потрібної даному конкретному банку.

Іншими словами, банк вибудовує міцний міст між своїм віртуальним відділенням в Інтернеті і бэк-офисом, що дозволяє проводити основні банківські операції включаючи отримання виписок, переказ коштів з рахунку на рахунок, внесення грошей на депозит і т.д. Таким чином, клієнт отримує можливість оперувати з своїми рахунками будь-яким чином - з відділення банку через касу, через банкомат, робити покупки і мати доступ до проведення операцій по рахунках з свого домашнього комп'ютера, а банк виходить на якісно новий рівень надання банківських послуг.

Коли було винайдено електрику, усі думали: воно допоможе рубати дрова! Однак пройшов час, і про дрова забули - завдяки цьому ж відкриттю був знайдений інший спосіб обігріву житла. Щось подібне відбувається зараз і з Інтернетом. Намагаючись часом «віртуалізувати» рішуче усе навколо, ми мало замислюємося про те, що нова технологія вимагає від нас принципово іншого підходу. З одного боку, Інтернет - це усього лише звичайний комунікаційний канал, з іншого - зовсім інший світ. Як говориться, перспектива залежить від точки зору.

У період розробки перших інформаційних систем переважало прагнення створювати програми, що точно копірують реальну діяльність конкретного підприємства. І цей принцип став епітафією не одній компанії-розроблювачу. Виграли ж ті, у кого вистачило мудрості і сил пропонувати не тільки готове і гнучке рішення, але і здійснювати консалтинг -- так сказати «підтягувати» підприємство, що автоматизується, до рівня, при якому автоматизація можлива.

Помилка нашого часу - спроба розглядати Інтернет як ординарний засіб масової інформації. Але дозвольте, а як же бути з основними відмінностями Інтернету від ЗМІ -- інтерактивністю й індивідуальністю підходу? Чи не тому, що ці відмінності часто не беруться до уваги, звичні рекламні ходи в Інтернеті усе частіше дають збої, і люди усі рідше заглядають на сайти, що мають забагато традиційної реклами? Помістити оголошення в конференцію -- ще куди не йшло, але чи потрібно демонструвати на комп'ютері ролик, що призначений для показу по телебаченню? Кому, зрештою, потрібні деякі корпоративні сайти, що усі як один неодмінно містять стандартні розділи як-то «ПРО компанію», «Наші ціни», «Як нас знайти» і обновляються. (а чого там обновляти?) не частіше одного разу в півроку? А лихоманка порталів, що охопила Інтернет якийсь час тому?…

Однак паростки нових підходів все ж помітні. Так, вже розробляються системи, що будуть враховувати індивідуальні прихильності відвідувачів онлайнових магазинів, і навіть подекуди такі додатки починають застосовуватися. Та й деякі «стародавні» рішення виявилися цілком життєздатними. Яскравий тому приклад -- пошукові системи, каталоги або ті ж системи «Інтернет--Клієнт».

Механічний перенос чого-небудь, а тим більше бізнесу, в Інтернет є якщо не збитковим, то, принаймні, марним. У вирішенні цієї проблеми дуже велика роль професійних компаній-розроблювачів. Справа в тому, що окремо узятий банк, як правило, починає автоматизацію із себе самого, і тут дуже легко встати на помилкову стежину «віртуалізації» того, що в принципі не має сенс переносити в Мережу.

Компанія, яка спеціалізується на створенні програмного забезпечення, і має значний досвід у предметній області по визначенню, має більш широке бачення перспектив продукту, і розробку здійснює з прицілом на велику кількість потенційних користувачів, а не на одне лише конкретне застосування.

Власне, у середовищі банкірів зустрічаються дві крайні точки зору. Ті, кому властива перша з них, вважають: «Інтернет -- це небезпечно, і нам він не потрібний». Позиція других протилежна: «Інтернет -- це надзвичайно перспективно, і необхідно розвивати Інтернет-бізнес чого б нам це не коштувало». Обидва радикальних судження лише відбивають різні стадії, що звичайно проходять люди, починаючи знайомитися з Інтернетом. Так, абсолютне заперечення доцільності його використання характерно для тих, хто ще істотно не представляє, що ж таке ця Мережа. Фанатична ж віра властива тим, хто тільки що впізнав про обрії, що відчиняються. Усе б нічого, так от тільки наслідком першої з помилок може стати технологічне відставання банку, а результатом другого -- витрата значних коштів без видимої віддачі.

Є єдиний вірний спосіб, що дозволяє виробити більш професійне відношення до Інтернету, -- потрібно просто продовжувати його освоєння, спочатку вивчаючи, потім намагаючись створити і щось своє. Запевняю, дуже незабаром усілякі проблеми росту будуть ліквідовані.

Складніша справа з соціумом у цілому. Активна аудиторія Мережі поки невелика, і майже усі представляють декілька великих міст. Більшість або перебуває поки в стадії першої помилки, або взагалі не думає про Інтернет. Звичайно, ситуація поступово змінюється (завдяки й висвітленню в ЗМІ, і досвід друзів і знайомих), але все-таки занадто повільно, на що є дуже багато причин, у тому числі й економічних.

Проте той факт, що користуються банківською системою і працюють в Інтернеті люди найбільше соціально активні, дає надію, що їхньої кількості буде достатньо хоча б спочатку, на перших етапах розгортання систем Інтернет-банкінга. Причому є імовірність, що Інтернет підігріє інтерес до банківського сервісу. Зараз переважна більшість банкірів вважає, що зручність Інтернет-обслуговування стане в найближчому майбутньому важливим чинником залучення коштів клієнтів у банки.

Що стосується психологічних складнощів, то до них варто прирахувати побоювання загубити в Мережі свої гроші. Інтернет-банкінгу зовсім не йдуть на користь численні публікації про масові зломи і крадіжки з комп'ютерних систем. Однак, думаю, проблема ця має скоріше суспільні і юридичні корені, чим технічні або якісь інші.

3.3 Підвищення надійності Інтернет-систем та забезпечення безпеки надання фінансових послуг завдяки прогресу в сфері ІР-технологій

Вже відзначалося, що питання інформаційної і фінансової безпеки у випадку інтернет-банкінга набувають особливого значення. Використання нетрадиційних каналів доступу приводить до того, що до звичайних ризиків, випробовуваних банком, добавляються нові, що мають специфічну природу.

Питання безпеки діляться на дві групи. До першої групи відносяться питання захисту клієнта від несанкціонованого доступу до його інформації, що знаходиться в системах банку або передається по лініях зв'язку. Так, система інтернет-банкінга повинна забезпечити конфіденційність інформації про клієнта (залишки і надходження на рахунки, проведені операції) і захист від спроб несанкціонованого доступу до коштів клієнта. Слід зазначити, що захист клієнта припускає опосередковано і захист інтересів банку, тому що конфлікт із клієнтом із приводу розголошення його інформації може мати для банку неприємні наслідки.

Друга група питань відноситься до захисту від несумлінних клієнтів (здатних, наприклад, у корисливих цілях оспорювати проведені операції).

Забезпечення безпеки при використанні інтернет-банкінга засновано на використанні механізмів контролю доступу і повноважень і включає вирішення наступних завдань:

Ідентифікація -- встановлення відповідності між абонентом, що установив з'єднання по каналу віддаленого доступу, і клієнтом системи телебанкінга. Ідентифікація клієнтів робиться по користувальному імені, яким є визначена послідовність символів. З обліком того, що деякі пристрої доступу підтримують уведення тільки цифрової інформації, доцільно імена користувачів у системі телебанкінга обмежити цифровими послідовностями.

Аутентифікація -- підтвердження повноважень абонента використовувати введений їм ідентифікатор клієнта.

Контроль цілісності розпоряджень -- комплекс заходів, що забезпечує неможливість зміни чи утримання розпорядження при передачі від абонента до системи телебанкінга по каналу віддаленого доступу.

Забезпечення невідречности -- встановлення авторства розпорядження, що забезпечує неможливість відмови клієнта від операції, проведеної на підставі і відповідно до розпорядження.

Забезпечення конфіденціальності -- запобігання потрапляння даних, переданих по каналу віддаленого доступу, у розпорядження третьої сторони.

Способи вирішення задач контролю доступу і повноважень різні в залежності від каналу доступу. У деяких випадках, наприклад, при проведенні операцій через Інтернет, можливе досягнення дуже високого рівня захисту і спільне використання декількох механізмів захисту, в інших, наприклад при доступі по телефону, засоби захисту обмежені. На сьогодняшній день існують такі засоби захисту:

Постійний код або пароль. Найбільше простий і найменш надійний спосіб аутентифікации клієнта полягає у введенні клієнтом коду або пароля, відомого тільки йому. Доступ по більшості з перерахованих вище каналів припускає передачу інформації з відкритих мереж, що не дозволяє забезпечити надійний захист пароля від перехоплення і наступного використання. Таким чином, пароль може розглядатися скоріше як перша лінія оборони, що відсіває визначену частку -- сподіваємося, велику -- «непрофесійних» спроб несанкціонованого входу в систему телебанкінга.

Таблиця змінних (разових) кодів. Таблиця нумерованих кодів (також називаних сеансовими ключами), кожний із яких є паролем. Відмінність від постійного коду перебуває в тому, що кожний перемінний код може бути використаний тільки один раз, що робить безглуздим перехоплення. Після вичерпання всіх кодів клієнту видається нова таблиця. В середньому таблиця зі ста кодів вичерпується за півроку, що не тягне занадто великих незручностей для клієнта. Недоліком перемінних кодів є необхідність для клієнта носити із собою таблицю, тому що запам'ятовування декількох десятків кодів, мабуть, неможливо. Потрапляння таблиці в руки зловмисника (наприклад, шляхом копіювання) дає останньому доступ до рахунків клієнта. Рівень захисту може бути підвищений при використанні комбінації пароля, що запам'ятовується клієнтом, і таблиці кодів. Слабким місцем таблиці перемінних кодів також є можливість використання атаки, заснованої на емуляції зловмисником системи телебанкінга з метою одержання від клієнта поточного перемінного коду і його подальшого використання для проведення операції від імені клієнта.

Токен. Захищений локальним паролем фізичний пристрій, за допомогою якого клієнт може динамічно одержувати код доступу в систему. Прикладами токенов є такі пристрої, як Active Card і Tele I.D. Токен зареєстрований у системі телебанкінга на клієнта і певним чином синхронізований із сервером системи, що дозволяє системі визначити, що код був дійсно отриманий за допомогою токена клієнта. Фактично токен є аналогом таблиці перемінних кодів, але на відміну від неї захищений локальним паролем. Крім генерації перемінних кодів, токени можуть виконувати ряд інших функцій, наприклад обчислювати MAC-код для переданих розпоряджень, що забезпечує цілісність повідомлень. На жаль, відомі авторам токени використовують для обчислення MAC-кодів криптографічні алгоритми на симетричних ключах, що не дозволяє забезпечити властивість невідречності. Недоліком токенів є і їх відносно висока ціна (біля 50 дол. для ActivCard і 30 дол. для Tele I. D.), що обмежує їхнє застосування для обслуговування масової клієнтури.

3.4 Основні задачі та вимоги до систем захисту банківських інформаційних технологій

Одним з найважливіших аспектів функціонування систем віддаленого банківського обслуговування (систем Онлайн банкінга), є забезпечення інформаційної безпеки, тобто забезпечення конфіденційності і достовірності інформації, передаваної між Клієнтом і Банком. Для забезпечення інформаційної безпеки в системах віддаленого банківського обслуговування застосовуються різні засоби і методи захисту інформації, починаючи з парольного захисту і закінчуючи багаторівневими системами захисту на основі сучасних криптографічних протоколів і алгоритмів, що реалізовують шифрування і електронний цифровий підпис. Вибір засобів і методів захисту інформації залежить від виду системи віддаленого банківського обслуговування і каналу доступу до цієї системи.

Безпека даних є однією з головних вимог до БС та інтернет послуг. Повинна бути передбачена як стійкість роботи при неправильних діях персоналу, так і спеціалізовані системи захисту від навмисного злому з корисливими або іншими цілями. На сьогоднішній день безпека банківських інформаційних технологій така важлива, що ми розглянемо це питання докладніше. Система захисту і безпеки інформації в БС припускає наявність:

Засоби фізичного обмеження доступу до комп'ютерів БС (ідентифікаційні картки, знімні блокуючі пристрої і т.п.).

Надання повноважень, привілеїв і прав доступу до БС на рівні окремого користувача (співробітника або клієнта банку).

Засоби централізованого виявлення несанкціонованих спроб проникнути до ресурсів БС, що дають можливість своєчасно вжити відповідні заходи.

Захист даних при їх передачі по каналах зв'язку (особливо актуально при використовуванні відкритих каналів зв'язку, наприклад мережі Internet). Тут можливе використовування "цифрового електронного підпису" і інших криптографічних методів.

Питання безпеки діляться на дві групи. До першої групи відносяться питання захисту клієнта від несанкціонованого доступу до його інформації, що знаходиться в системах банку або передається по лініях зв'язку. Так, система інтернет-банкінга повинна забезпечити конфіденційність інформації про клієнта (залишки і надходження на рахунки, проведені операції) і захист від спроб несанкціонованого доступу до коштів клієнта. Слід зазначити, що захист клієнта припускає опосередковано і захист інтересів банку, тому що конфлікт із клієнтом із приводу розголошення його інформації може мати для банку неприємні наслідки.

Друга група питань відноситься до захисту від несумлінних клієнтів (здатних, наприклад, у корисливих цілях оспорювати проведені операції).

Забезпечення безпеки при використанні інтернет-банкінга засновано на використанні механізмів контролю доступу і повноважень і включає вирішення наступних завдань:

Ідентифікація -- встановлення відповідності між абонентом, що установив з'єднання по каналу віддаленого доступу, і клієнтом системи телебанкінга. Ідентифікація клієнтів робиться по користувальному імені, яким є визначена послідовність символів. З обліком того, що деякі пристрої доступу підтримують уведення тільки цифрової інформації, доцільно імена користувачів у системі телебанкінга обмежити цифровими послідовностями.

Аутентифікація -- підтвердження повноважень абонента використовувати введений їм ідентифікатор клієнта.

Контроль цілісності розпоряджень -- комплекс заходів, що забезпечує неможливість зміни чи утримання розпорядження при передачі від абонента до системи телебанкінга по каналу віддаленого доступу.

Забезпечення невідречности -- встановлення авторства розпорядження, що забезпечує неможливість відмови клієнта від операції, проведеної на підставі і відповідно до розпорядження.

Забезпечення конфіденціальності -- запобігання потрапляння даних, переданих по каналу віддаленого доступу, у розпорядження третьої сторони.

Питання безпеки діляться на дві групи. До першої групи відносяться питання захисту клієнта від несанкціонованого доступу до його інформації, що знаходиться в системах банку або передається по лініях зв'язку. Так, система інтернет-банкінга повинна забезпечити конфіденційність інформації про клієнта (залишки і надходження на рахунки, проведені операції) і захист від спроб несанкціонованого доступу до коштів клієнта. Слід зазначити, що захист клієнта припускає опосередковано і захист інтересів банку, тому що конфлікт із клієнтом із приводу розголошення його інформації може мати для банку неприємні наслідки.

Друга група питань відноситься до захисту від несумлінних клієнтів (здатних, наприклад, у корисливих цілях оспорювати проведені операції).

Забезпечення безпеки при використанні інтернет-банкінга засновано на використанні механізмів контролю доступу і повноважень і включає вирішення наступних завдань:

Ідентифікація -- встановлення відповідності між абонентом, що установив з'єднання по каналу віддаленого доступу, і клієнтом системи телебанкінга. Ідентифікація клієнтів робиться по користувальному імені, яким є визначена послідовність символів. З обліком того, що деякі пристрої доступу підтримують уведення тільки цифрової інформації, доцільно імена користувачів у системі телебанкінга обмежити цифровими послідовностями.

Аутентифікація -- підтвердження повноважень абонента використовувати введений їм ідентифікатор клієнта.

Контроль цілісності розпоряджень -- комплекс заходів, що забезпечує неможливість зміни чи утримання розпорядження при передачі від абонента до системи телебанкінга по каналу віддаленого доступу.

Забезпечення невідречности -- встановлення авторства розпорядження, що забезпечує неможливість відмови клієнта від операції, проведеної на підставі і відповідно до розпорядження.

Забезпечення конфіденціальності -- запобігання потрапляння даних, переданих по каналу віддаленого доступу, у розпорядження третьої сторони.

Особлива увага при розробці систем «клієнт-банк» та інтернет-банкінгу була надана забезпеченню безпеки передачі інформації та доступу до неї.



Рис.3.1. Шифрування та дешифрування електронного документу

Для цього в системі використовуються наступні засоби:

Система паролів доступу до абонентного місця.

Шифрування даних при передачі по відкритих каналах зв'язку за допомогою алгоритму DES (рис.3.2.).

Застосування цифрового підпису для забезпечення достовірності документів, передаваних по відкритих каналах зв'язку.

Для формування цифрового підпису використовується комбінована схема відкритого і закритого підпису RSA (стандарти ISO 8730, ISO 8731-1).

У деяких системах передачі даних існує так звана підсистема аудиту. Вона призначена для збору інформації про події системи і містить два типи реєстраційних журналів -- системний і аудиту безпеки. Системний журнал містить відомості про функціонування системи, журнал аудиту безпеки -- дані, пов'язані з інформаційною безпекою системи. Додатково підсистема аудиту може включати реєстраційний журнал серверу з даними по всіх мережевих з'єднаннях, які були встановлені через цей сервер. Для кожної події підсистема реєструє дату і час виникнення події, порядковий номер події, категорію події, джерело події і іншу інформацію, пов'язану з цією подією.

Перелік подій, що підлягають аудиту, може бути визначений адміністратором безпеки за допомогою фільтрів. Фільтри можуть містити наступну інформацію: ім'я користувача, дії якого повинні реєструватися в журналі аудиту; класи подій, реєстровані системою; рівень пріоритету подій, реєстрованих системою, і ін. Відповідно до настройок адміністратора безпеки при виникненні подій певного типу підсистема аудиту безпеки може виводити інформацію про ці події на консоль адміністратора системи.

Підсистема аудиту, крім того, повинна містити фільтри, що дозволяють фіксувати всі події, пов'язані з діями користувача, а також всі високопріоритетні події, що стосуються дій адміністратора системи.

Ще використовується контроль ідентифікації і аутентифікації користувачів системи. Підсистема ідентифікації і аутентифікації призначена для захисту мережі від несанкціонованого доступу шляхом перевірки аутентифікаційних даних, що надаються користувачами системи. Процедури ідентифікації і аутентифікації підсистеми можуть бути реалізовані наступними способами:

* за допомогою реєстраційних імен і паролів, що вводяться користувачами на етапі отримання доступу до системи;

* з використанням сертифікатів. При реалізації даного механізму аутентифікації замість реєстраційних імен і паролів користувач надає свій сертифікат. Аутентифікація з використанням сертифікатів використовується при віддаленому підключенні користувачів до системи через мережу Інтернет та ін.

Обмеження числа спроб доступу до системи. Для виконання цієї дії необхідно внести додаткові параметри в профіль системи шляхом виконання транзакції або ручного редагування файлу, що містить профіль.

Настройка правил по формуванню і зміні пароля. Для виконання настройки спочатку вказується мінімально допустима довжина пароля і час, необхідний для зміни пароля. Окрім зміни профілю адміністратор безпеки повинен визначити перелік паролів, використання яких користувачами в системі є неприпустимим.

* пароль не повинен співпадати з ім'ям облікового запису користувача;

* пароль повинен містити алфавітні символи різних регістрів;

* пароль повинен містити як алфавітні, так і цифрові символи;

* пароль повинен бути випадковою послідовністю символів.

Необхідно відзначити, що в цілях безпеки в системі зберігаються не паролі користувачів, а їх хэш-значения. Для їх обчислення використовується модифіковані алгоритми.

Представлений аналіз можливого рівня захищеності систем вселяє певний оптимізм виробникам і користувачам. Проте всі базові підсистеми захисту припускають застосування зовнішніх модулів, що реалізовують криптографічні функції відповідно до заданих вимог. В даний час на Українському ринку присутні декілька таких модулів, але всі вони реалізують зарубіжні криптографічні алгоритми, що ускладнює їх використовування на території України.

Розглянемо дещо детальніше поняття цифрового підпису, що служить одним з найголовнішим засобом захисту та підтвердження достовірності передаваної коммерційної та банківської інформаціі та є базою надійності банківських інформаційних технологій.

Рис.3.2. Формування та використання електронного цифрового підпису

Електронний цифровий підпис (ЕЦП) - аналог власноручного підпису фізичної особи у вигляді послідовності символів, одержаної в результаті криптографічного перетворення електронного документа (початкової інформації) з використанням секретного ключа ЕЦП, дозволяючий встановити авторство ЕЦП, а також цілісність і незмінність електронного документа.

Секретний ключ ЕЦП (секретний ключ) - послідовність символів, призначена для вироблення ЕЦП і відома тільки власнику секретного ключа.

Відкритий ключ ЕЦП (відкритий ключ) - послідовність символів, однозначно пов'язана з відповідним секретним ключем ЕЦП, призначена для перевірки ЕЦП і доступна широкого кола осіб.

Діючий відкритий ключ - відкритий ключ, зареєстрований в Банку, термін дії якого не закінчився, дію якого не відмінено.

Електронний цифровий сертифікат (сертифікат) - інформаційний масив, завірений ЕЦП Банка, що містить відкритий ключ власника секретного ключа, інформацію про власника секретного ключа, серійний номер сертифікату, період дії сертифікату, а також деяку допоміжну інформацію.

Електронні документи, підписані коректною ЕЦП Клієнта, є підставою для здійснення операцій від імені Клієнта і тягнуть такі ж правові наслідки, як і ідентичні по значенню і змісту документи на паперовому носії, підписані власноручним підписом Клієнта.

Операції ув'язнені шляхом обміну електронними документами, підписаними ЕЦП, задовольняють вимозі здійснення операції в простій письмовій формі у випадках, передбачених цивільним законодавством, і тягнуть юридичні наслідки, аналогічні наслідкам здійснення операцій, скоюваним з фізичною присутністю особи (взаємній присутності осіб), що здійснюють операцію.

Операції або інші дії, здійснені Банком, а також операції укладені між Клієнтом і Банком на підставі електронних документів, підписаними ЕЦП, не можуть бути оспорені тільки на тій підставі, що ці дії не підтверджуються документами, складеними на паперовому носії.

ЕЦП володіє наступними властивостями, що дозволяють забезпечити підтвердження авторства, цілісності і незмінності електронних документів:

створення коректної ЕЦП електронного документа неможливе без знання відповідного секретного ключа;

при будь-якій зміні електронного документа його ЕЦП, сформована до внесення змін, стає некоректною;

знання інформації, яка міститься в електронних документах, ЕЦП і відкритих ключах, не приводить до компрометації секретних ключів.

Всі дані засоби і методи захисту інформації у кожному конкретному випадку дозволяють забезпечити необхідний рівень інформаційної безпеки систем віддаленого банківського обслуговування. В той же час, для забезпечення безпечної роботи в системах віддаленого банківського обслуговування Клієнту необхідно виконувати наступні загальноприйняті рекомендації:

зберігати в таємниці і не передавати нікому своїх паролів, таблиць змінних кодів, дискет з криптографічними ключами, токенов і інших засобів доступу в системи віддаленого банківського обслуговування;

використовувати для роботи в системах віддаленого банківського обслуговування комп'ютери, програмне забезпечення яких повністю контролюється Клієнтом;

у разі втрати паролів, таблиць змінних кодів, токенов, дискет з криптографічними ключами або інших засобів доступу в системи віддаленого банківського обслуговування, а також у разі виявлення доступу до них сторонніх осіб негайно блокувати свою роботу в системах віддаленого банківського обслуговування.

Розділ 4. Правові, соціально-економічні, організаційно-технічні питання охорони праці в банках

4.1 Аналіз санітарно-гігієнічних умов праці в установі

Відповідно до Закону України "Про охорону праці" (ухвала Верховної Ради України від 14 жовтня 1992 року № 2695-ХII), охорона праці - це система правових, соціально - економічних, организационно-технических,санитарно - гігієнічних і лікувально - профілактичних заходів і засобів, направлених на збереження здоров'я і працездатності людини в процесі праці.

Законодавство про Охорону праці складається із Закону України "Про охорону праці", Кодексу законів про працю (КЗПП) України, Конституції України і інших законодавчих актів. Державні міжгалузеві і галузеві нормативні акти про охорону праці - це правила, стандарти, норми, положення, інструкції і інші документи, яким надана сила правових норм, обов'язкових для виконання.

Створення належних умов праці - найважливіше завдання. Розглянемо умови праці в одному з відділів комп'ютеризації. Цей відділ представляє собою приміщення в дев`ятиповерховому будинку (колишній житловий будинок, побудований згідно вимогам та стандартам будівництва житла ), площею 72 м2 (6х12х3) на третьому поверсі будівлі. В цьому приміщенні розташовано вісім робочих місць, обладнаних ПЕОМ, що в свою чергу, об`єднані в мережу. Таким чином, на одну людину приходиться 27 м3 простору в робочій зоні приміщення. Цей показник відповідає нормам згідно зі БНіП ІІ-90-81, СН 512-78, ДСанПіН 3.3.2.007-98.

Щодо вимог промислової естетики приміщень, приміщення відділу комп'ютеризації банку, що розглядається, відповідає вищезгаданим вимогам, а саме: стелі пофарбовано в білий колір, колі стін витримано в корпоративному стилі установи банку - це бежевий колір. Інтер`єр оформлений в стилі бізнес-мінімалізму з меблями світло-сірого кольору.

Підлога виготовлена з антистатичного покриття (антистатичний лінолеум). Інші типи покриття варто обробляти антистатичними речовинами типу «Лана-1».

При експлуатації ПЕОМ необхідно класифікувати шкідливі чинники згідно ГОСТ 12.0.003-74, ССБТ, "Небезпечні і шкідливі виробничі чинники. Класифікація."

підвищенні значення електричного струму, які можуть проходити через людину при коротких замиканнях електричної мережі;

підвищенні значення статичної електрики.

Порушенням вимог виробничої санітарії є:

підвищений рівень електромагнітних випромінювань

підвищений рівень рентгенівських випромінювань

недостатнє або надмірне освітлення;

підвищений рівень шуму (в особливості при роботі з матричними принтерами);

несприятливі метеорологічні умови.

температура;

відносна вологість;

швидкість руху повітря;

Пожежна і вибухова небезпека

Психофізіологічні чинники:

перенапруження аналізаторів;

монотонність праці;

розумове перенапруження;

емоційні перевантаження.

Джерелами випромінювання електромагнітних полів (ЕМП) в ПЕОМ є електроннопроменева трубка монітору, а також елементи блоків живлення системного модуля, монітору, принтера.

Систематичний вплив на працюючого ЕМП з рівнями, що перевищують допустимі, призводить до порушення стану їхнього здоров'я: поразки кристаликів ока, нервово-психічні захворювання і трофічні явища, випадіння волосся, ломкість нігтів, можуть викликати підвищену стомленість, дратівливість, головний біль, порушення сну, пониження кров'яного тиску, зміну температури тіла і інші явища, пов'язані з розладом центральної нервової і серцево-судинної систем.

Небезпека дії іонізуючих випромінювань обумовлена ще і тим, що людина органами чуття не знаходить його до тих пір, поки не виявиться та або інша зміна в організмі людини.

Рентгенівське і гамма- випромінювання характеризуються також експозиційною дозою, вимірюваною в рентгенах. Біологічний еквівалент рада - бер - доза іонізуючого випромінювання в біологічній тканині, яка створює той же біологічний ефект, що і доза в 1 радий рентгенівського або гамма-випромінювання.

В приміщенні, що розглядається, значення енергетичного навантаження на організм СВЧ опромінювання протягом робочого дня не перевищує 2 Вт год./м2, що не розбігається з нормативними величинами СН 3223-85, ДСанПіН 3.3.2.007-98.

Електронно-променеві трубки, працюючи при напругах понад 6 кВ є джерелами "м'якого" рентгенівського випромінювання. При напругах понад 10 кВ рентгенівське випромінювання виходить за межі скляного балону і розсіюється в навколишньому просторі виробничого приміщення.

Шкідливий вплив рентгенівських променів пов'язаний з тим, що, проходячи крізь біологічну тканину, вони викликають в тканині іонізацію молекул тканевої речовини, що може призвести до порушення міжмолекулярних зв'язків, що в свою чергу, призводить до порушення нормальної течії біохімічних процесів і обміну речовин.

Статичний заряд може виникати на незаземлених металевих і діелектричних поверхнях устаткування, на покриттях полови і робочих місць, на панелях стін, існують розряди статичної електрики, що виникають між представниками персоналу і елементами устаткування і т.і.

При роботі на ПЕОМ людина наражається на шумовий вплив з боку багатьох джерел, що є в відділі комп'ютеризації є:

різні приводні механізми (90 дБ);

рахунково-друкуючі пристрої (70 дБ);

вентилятори (90 дБ);

кондиціонери (100 дБ).

При роботі в умовах шуму спостерігається підвищена втомлюваність і зниження дієздатності, погіршуються увага і мовна комутація, створюються передумови до помилкових дій працюючих.

Вухо людини сприймає звуки з частотою від 16 до 20000 Гц. Людина не здатна чути коливання з частотою менше 16 Гц, які називаються інфразвуком, і коливання з частотою більше 20000 Гц - ультразвук. Невизначені шуми, що не доходять до свідомості, також викликають виснаження нервової системи людини, внаслідок чого вони можуть служити причиною порушень в організмі. Межа рівня інтенсивності шуму для оператора ПЕВМ - 80 дБ по нормах радіоелектронної промисловості.

При рівні звуку I>85 дБ персонал повинен забезпечуватися засобами індивідуального захисту.

В відділі комп'ютеризації була проведена заміна матричних принтерів на лазерні. Окрім цього, зниження шуму в самих джерелах досягається встановленням вібропоглинаючих і шумопоглинаючих прокладок або амортизаторів.

Відомо, що організм людини має компенсаторні пристосовні механізми, що забезпечують підтримку певних кліматичних умов нормальної роботи в робочій зоні.

Мікроклімат в робочій зоні визначається наступними параметрами: температурою повітря, відносною вогкістю, швидкістю руху повітря на робочому місці, атмосферним тиском.

Відповідно до вимог системи стандартів безпеки праці (ССБП) параметри мікроклімату визначаються для робочої зони на висоті 2м над рівнем підлоги.

Людина працездатна і відчуває себе добре, якщо оптимальні норми рівні:

температура повітря в межах- 18-22 град.С;

відносна вогкість - 40-60 %;

швидкість руху повітря - 0,1-0,2 м/с

Повітря, що подається в приміщення, обладнане ПЕОМ, системою вентиляції, повинен мати температуру 15-25 град. Запиленість має бути не більш 0,75 міліграми/м3 при розмірі частинок не більш 3 мкм. У холодний і перехідний періоди року допустимі швидкості руху повітря не більш 0,2-0,5 м/с, відносна вогкість - не більш 75%.

Система опалення в приміщенні парове, обладнане системою регулювання температури нагріву.

На організм людини і обладнання ПЕОМ великий вплив виявляє відносна вологість. Якщо вона менше ніж 40%, стає крихкою основа магнітного диску, підвищується знос магнітних головок, виходить з ладу ізоляція проводів, а також виникає статична електрика при русі гнучкого магнітного диску в дисководі. При відносній вологості повітря більш 75-80% знижується опір ізоляції, змінюються робочі характеристики елементів, зростає інтенсивність відмов елементів ПЕОМ.

Регулярне провітрювання приміщень є єдиною можливістю досягнення мінімального рівня концентрації шкідливих речовин у повітрі.

Необхідна кількість приточного повітря при можливості природного провітрювання приміщення на одну людину повинна бути не менш 20 м3/год при обсязі службового приміщення не менш 20 м3. При обсязі приміщення 216 м3 і кількості 8 працюючих осіб необхідна кількість приточного повітря L = 20*8 = 160 м3. Для забезпечення припливу такої кількості повітря у відділі комп'ютеризації банку використовуються два кондиціонери фірми Samsung.

Організація раціонального освітлення робочих місць - один з основних питань охорони праці. Очевидно, що при незадовільному освітленні різко знижується продуктивність праці, можливі нещасні випадки, поява короткозорості і інших захворювань органів зору, швидка стомлюваність.

Освітлення може бути трьох видів:

- природне;

- штучне;

- суміщене.

Штучне освітлення передбачається у всіх приміщеннях, де недосить природного освітлення, а також для освітлення приміщень в нічний час. Суміщене освітлення застосовується при недостатньому природному освітленні, яке доповнюється штучним.

Слід згадати і про таке важливе поняття, як норма освітлення. Норма освітленості приміщення обладнаного обчислювальними системами складає 300 - 500 Лк на висоті 0,8 м над рівнем підлоги .

Як джерела світла застосовують газорозрядні лампи або лампи розжарювання. Внаслідок тривалої експлуатації ламп їх світловий потік знижується на 10-20%. Регулярний догляд за установками освітлення має важливе значення для створення раціональних умов освітлення.

В приміщенні відділу комп'ютеризації розміром 6х12х3 необхідно створити освітленість Ен = 400 лк. На це потрібно 32 лампи ЛБ потужністю 40 Вт кожна, які повинні бути розміщені по 2 шт. в світильники УСП 35, розташовані в два ряди уздовж приміщення. Світильники розміщені в два безперервні суцільні ряди, що є найбажанішим.

При експлуатації ПЕОМ можуть виникнути негативні явища в організмі людини. Розлади, що виникають в результаті постійного виконання дій ,що повторюються, відомі вже багато років і стосуються особливо працівників, що використовують в своїй роботі клавіатуру. При цьому виникає синдром тунельного зап'ястя, викликаючий розпухання сухожилля і що супроводжується постійною біллю при виконанні будь-яких дій, навіть не зв'язаних безпосередньо з професійною діяльністю

Психофізіологічні шкідливі і небезпечні виробничі чинники по характеру дії поділяються на фізичні і нервово-психічні перевантаження. До фізичних відносяться різного роду перевантаження, які підрозділяються на статичні і динамічні, а нервово-психічні - на розумове перенапруження, монотонність праці, емоційні перевантаження і перенапруження аналізаторів.

Для кожної людини є оптимальний діапазон робочої напруги, при певному навантаженні, в межах якої зміни в організмі протікають найекономніше, а робота виконується ефективно. Навантаження нижче і вище оптимального рівня створюють несприятливий вплив на людину.

Об`єднаємо всі досліджені дані умов праці у відділі комп'ютеризації у таблицю 4.1.

Розглянувши наведений метеріал можно зробити висновки про те, що умови праці у відділі комп'ютеризації відповідають всім нормам законодавства про охорону праці згідно зі БНіП 2.04.05-91, ДЕСТ 12.1.005-88, СН 4088-86, ДСанПіН 3.3.2.007-98.

Таблиця 4.1

Параметри санітарно-гігієнічних умов праці

№п\п	Параметри	Фактичне значення	Норматив за державним стандартом	Відповідність факт\ нормативу
1	Температура повітря в перехідний період, С	18 - 23	15 - 25	+
2	Відносна вологість, %	45 - 60	40 - 60	+
3	Швидкість руху повітря, м/с	0,15 - 0,21	0,1 - 0,2	+
4	Запиленість, мг/м3	0,70	< 0,75	+
5	Освітленість, лк	400	300 - 500	+
6	Рівень шуму, дБл	74	< 80	+

4.2 Техніка безпеки та протипожежна профілактика

При роботі з ПЕОМ виникає небезпека ураження електричним струмом від провідників, що знаходяться під струмом.

Електричні установки, до яких відноситься практично все устаткування ПЕОМ, представляють для людини велику потенційну небезпеку, оскільки в процесі експлуатації або проведення профілактичних робіт людина може торкнутися частин, що знаходяться під напругою. Специфічна небезпека електричних установок: корпуси ПЕОМ виявилися під напругою в результаті пошкодження ізоляції. Проходячи через тіло людини, електричний струм надає на нього складну дію, викликаючи термічну, електролітичну, механічну і біологічну дію.

Захист від небезпечних впливів електричного струму при експлуатації обчислювальної техніки в відділі комп'ютеризації банку забезпечується:

застосуванням захисного заземлення або занулення;