Возможные решения для стабилизации банковских ИТ-систем

30 апреля 2015 г.

Возможные решения для стабилизации ИТ-систем Стабильная работа банков в особенности зависит от уровня доступности их ИТ-систем. Присутствие в сети всегда повышает риск атаки на инфраструктуру и сохраненные рабочие процессы. Как профессиональная автоматизированная система управления обслуживанием помогает обеспечить безотказную работу технологических цепочек. Хади Штиль: - Когда кредитные институты осуществляют денежные операции в Интернете, задержки или сбои рабочих процессов недопустимы. Такой отказ сразу бы нанес непоправимый ущерб и негативно сказался бы на репутации банка. Поэтому эффективное управление обслуживанием ИТ-систем имеет особое значение для банков. В связи с этим Анна-Луиза Мюллер, научный сотрудник центра, специализирующегося на финансовом и ин-формационном менеджменте, при Университете Аугсбурга, призывает финансовые институты больше внимания уделять обеспечению непре-рывности рабочих процессов (Business Continuity Management / BCM) в рамках своей внутренней финансовой архитектуры. Это значит, что им нужно по возможности обеспечить безотказное выполнение бизнес-процессов. Что касается организации BCM, то чаще всего эти функции закрепляются за руководством предприятия, а контроль осуществляют отделы ИТ, управления рисками и др. Госпожа Мюллер выделяет в своей дискуссионной статье «Обеспечение непрерывности бизнес-процессов в финансовых учреждениях» различные виды сбоев бизнес-процессов по степени серьезности их последствий, В двух словах • Эффективное управление техническим обслуживанием ИТ-систем имеет особое значение для кредитных институтов. • Неподготовленных к отказу ИТ-систем банков ждут юридические сложности. • Финансовые институты должны гарантировать безотказное выпол-нение бизнес-процессов в рамках своей финансовой архитектуры. такие как, например, неполадки, аварии, критические сбои и катастро-фы. С точки зрения г-жи Мюллер, неполадки в работе ИТ-систем часто возникают в одной или нескольких областях, они носят кратковремен-ный характер и имеют незначительные, локально ограниченные послед-ствия. Аварии часто распространяются на несколько областей или на весь банк в целом, но также носят кратковременный характер. Критические сбои всегда касаются всего банка в целом и влекут за собой серьезные, долгосрочные последствия. Катастрофы в ИТ-системах дополнительно отражаются на окружении банка и имеют глобальные последствия. Кро-ме того, недостаточно хорошо подготовленных к таким случаям кредит-ных институтов ждут многочисленные юридические сложности (см. гра-фик ниже). Чтобы исключить риски или снизить их вероятность эксперт по ИТ-услугам, г-жа Мюллер предлагает следующее: • идентифицировать, проанализировать и оценить количество всех возможных рисков для банка, • систематически регистрировать отдельные угрозы для критиче-ских с точки зрения бизнеса процессов, • проводить необходимую подготовку и мероприятия на основании предварительно определенной модели. Учет рисков Ульрих Пёлер, специалист ИТ-менеджмента компании «Materna», при-зывает кредитные институты больше заботиться о предотвращении сбоев при выполнении бизнес-процессов. ИТ-системы / Управление сервисным обслуживанием «Чаще всего повторные сбои наносят серьезный ущерб финансовым операциям, – аргументирует он, – поэтому банки должны сфокусиро-ваться на рисках, связанных с оперативной работой ИТ-систем, чтобы насколько это возможно исключить их с помощью системы управления рисками». Он придает особое значение повышению качества обслужи-вания ИТ-систем, так как «полная автоматизация этих процессов позво-лит снизить частоту отказов, а, следовательно, стабилизировать работу ИТ-систем. Надежная структура обслуживания является залогом проч-ных и высокоэффективных бизнес-процессов». Менеджмент жизненного цикла облуживания, разработанный на базе таких регламентов, как ITIL (Библиотека инфраструктуры информационных технологий) и стандарт ISO20000, помогает финансовым институтам решить вопрос автомати-зации управления ИТ-системами. «Такой подход позволяет сократить время на обслуживание, адаптировать используемые процессы, лучше контролировать работу ИТ-систем и значительно снизить расходы», – говорит эксперт по ИТ-системам банков г-н Пёлер. Он считает управле-ние обслуживанием ИТ-систем (ITSM) подходящим инструментом для создания комплексной автоматизированной системы контроля обслужи-вания. Г-н Пёлер подразумевает под этим модель ИТ-службы, отвечающей в банках за снижение расходов, увеличение скорости и контроль процес-сов. Однако выходя на более профессиональный уровень работы с исполь-зованием ИТ-систем, финансовые институты должны также «больше внимания уделять безопасности своих данных», считает Кристиан Вольф, консультант по управлению обслуживанием компании «Bridging IT». Безопасность данных является важной частью эталонной модели ITIL и управления обслуживанием. Правовые и законодательные требования Германии к управлению биз-нес-процессами изложены в следующих документах: • Минимальные требования по управлению рисками Федерального ведомства ФРГ по надзору за оказанием финансовых услуг (Batin) • Закон Сарбейнса-Оксли • Закон о кредитной системе (KWG) • Закон о контроле и прозрачности в сфере предприятий (KonTraG) • Базельские соглашения по собственному капиталу (Basel 11) • Закон об операциях с ценными бумагами (AktG) • Закон о биржах и биржевых операциях (BörsG) • Закон об охране труда (ArbschG) • Санитарно-гигиенические требования и требования к эксплуата-ционной безопасности рабочего оборудования (BetrSichV) • Директивы и стандарты • Стандарт BS25999-1:2006 и BS25999-2:2007 Британского институ-та стандартов • «Рекомендации по добросовестной практике» Института непре-рывности бизнес-процессов • Стандарт NIST SP 800-34 Национального института стандартов и технологий • Стандарт BSI 100-4 Федерального ведомства безопасности ин-формационных технологий • Директивы ISO (ISO 20000, 22399, 27001, 27002) ИТ-системы / управление обслуживанием «Институты должны будут активнее пользоваться комплектным инстру-ментом идентификации и аутентификации (IAM) для защиты информа-ции, передаваемой в рамках бизнес-процессов, от несанкционированно-го доступа», – подчеркивает он. При этом речь идет не о краже данных. «Целостность и доступность данных не менее важны. Так как манипуляция информацией или ее задержка моментально сказывается на бизнес-процессах в целом». Кроме того, он упоминает электронное управление и соответствие IAM-решений, интегрированных в аудит и отчет-ность кредитных институтов. «IAM-решения обязательно требуются для непрерывной записи, оценки и документальной фиксации любого доступа или попыток доступа». Только так при внутренних ревизиях и внешних проверках банки могут доказать, что они соблюдают все правила и предписания техники безопасности. Препятствия при привлечении внешних ресурсов для бизнеса ИТ-консультант г-н Вольф считает, что кредитные институты, как прави-ло, боятся привлекать сторонних поставщиков ИТ-услуг в качестве внешних ресурсов для своего бизнеса (Business Process Outsourcing / BPO) особенно в связи с необходимостью соблюдать требования к со-ответствию. «Так как, в конце концов, ответственность за соблюдение различных законов, постановлений и соглашений несет не поставщик услуг, а банк, привлекающий внешние ресурсы». Андреас Биттнер, региональный менеджер по Германии компании «Avaloq Evolution», занимающийся управлением обслуживания в сфере управления благосостоянием, универсальных и розничных банков, со-ветует: «BPO подходит только для малых и средних кредитных институтов, которые хотят снизить свои расходы, стремятся к прогнозируемой структуре расходов, не считают банковские процессы важным отличи-тельным признаком на рынке и хотят избежать высоких затрат на управление изменениями». Иначе обстоит дело в больших финансовых институтах, которые обрабатывают большие объемы данных, стремятся к достижению серьезных результатов или используют индивидуальные бизнес-процессы и нуждаются в гибком управлении версиями. По мнению г-на Биттнера, они сами должны эффективнее работать с банковскими серверами и соответствующим программным обеспечением. Крупные немецкие институты, например, «Deutsche Bank», уже давно отказались от привлечения сторонних поставщиков ИТ-инфраструктур и услуг, неспособных удовлетворить их запросы. Банк «Commerzbank» также почти полностью перешел на самостоятельное обслуживание серверов и программного обеспечения. Предложением «Deutsche Bank» он пользуется только при купле-продаже акций и купле-продаже на срок. Для этого он через расчетный центр компании «Equinix» (Германия) подключен к системам биржи. Оба крупных банка, по-видимому, считают сейчас привлечение сторонних поставщиков ИТ-услуг настолько непри-емлемым для своей организации и своих сделок, что они отказались отвечать на вопросы журнала BANKMAGAZIN. Общенемецкая сеть сберегательных касс «Sparkassen» возвращается к внутренним услугам финансовой информатики. Банки «Volksbank» и «Raiffeisenbank» пользуются услугами внутреннего подразделения «Fiducia IT», которое в числе первых перешло на специ-альное программное обеспечение для банков Agree. Кроме того, «Fiducia» предлагает околобанковские услуги общественным организа-циям и частным предприятиям. Несмотря на большое количество менее крупных частных банков в Германии аутсорсинг ИТ-инфраструктур и услуг, то есть делегирование задач управления обслуживанием не пользуется большим спросом в настоящее время на немецком банков-ском рынке. Ларс Гэбель, руководитель отдела сбыта и ИТ-услуг Дармштадского центра обработки данных (DARZ) видит, тем не менее, необходимость в резервных ЦОДах. Для реализации комплекса реформ Базель III и обеспечения требуемого уровня безопасности ИТ-систем важно, чтобы основные и резервные ЦОДы финансовых институтов располагались как минимум на расстоянии 30 километров друг от друга. «В частности, такие банки, как «Deutsche Bank» или «Commerzbank», зарегистриро-ванные во Франкфурте и пользующиеся услугами собственных ЦОДов во Франкфурте, являются потенциальными клиентами DARZ», – уверен он. Наряду с ними он рассматривает частные банки Германии и Европы в качестве возможной целевой аудитории услуг внешнего управления обслуживанием ИТ-систем. Дата Центр DARZ располагается в бывшем здании хранилища федерального банка земли Гессен-Тюрингия (Helaba) и начал свою деятельность летом 2014 г. на площади в 2 400 квадратных метров. Наряду с услугами хостинга и управления обслуживанием он также занимается колокацией и размещением серверов. Ко-локация позволяет финансовым институтам размещать свои собственные серверы и системы программного обеспечения на технической площадке дата центра и самим их там обслуживать. В рамках услуги размещения сервера банки продолжают пользоваться своими ИТ-системами, только в этом случае их обслуживанием занимается DARZ. Иначе выглядит ситуация с обслуживанием терминалов самообслужи-вания финансовых институтов. Контроль, уход и техобслуживание терминалов собственными силами для филиалов оказывается не просто убыточным. Возникающие в связи с этим временные затраты нарушают оперативную ежедневную работу. Кроме того, такие факторы, как небольшой спектр услуг, а, следовательно, невысокий риск нарушения процессов, говорят в пользу поруче-ния этих функций специальному предприятию. «Контроль и обслужива-ние терминала самообслуживания через систему управления обслужи-ванием – это просто более эффективное и действенное решение для банков», – уверен Вольфганг Кюнклер, руководитель отдела сопутству-ющих услуг компании «Wincor Nixdorf». Сберегательная касса Харбург-Букстехуде, например, возвращается к системе управления обслужива-нием для управления неисправностями, проблемами и изменениями и защищает свои процессы и услуги тем, что использует ITIL-совместимую систему управления обслуживанием. «Наша система ме-неджмента банкоматов дает еще больше преимуществ, она настроена на профилактику предупреждение неисправностей, – объясняет Кюн-клер. – Мы регистрируем и записываем ошибки, возникающие в системе менеджмента неисправностей или операций самообслуживания. На основании истории ошибок мы можем составлять прогнозы и принимать меры для защиты от функциональных сбоев в случае возникновения таких ошибок в терминалах самообслуживания». Также ведется постоянный контроль событий, представляющих угрозу безопасности терминалов самообслуживания и счетов клиентов. Все процессы сберегательной кассы, необходимые для управления без-опасностью, протекают в соответствии с регламентом ITIL и интегриро-ваны в обеспечиваемый поставщиком процесс обслуживания. БАНКОВСКИЙ ЖУРНАЛ 46 BANKMAGAZIN 4 12015 Автор: Хади Штиль, внештатный журналист и консультант по вопросам коммуникации в г. Бад-Камберг.