Михаил сенаторов: «сто бр иббс — тот самый фундамент, на котором финансово-кредитные организации могут выстраивать собственные системы информационной безопасности»

      Комментарии к записи Михаил сенаторов: «сто бр иббс — тот самый фундамент, на котором финансово-кредитные организации могут выстраивать собственные системы информационной безопасности» отключены

Стандарт Банка России — не застывший документ.

По мере развития высоких технологий появляются новые риски и угрозы, весьма серьезные и финансово ощутимые, если речь идет о банковской деятельности. О том, как банки могут минимизировать подобные риски, как они могут добиться повышения уровня зрелости своих систем информационной безопасности, о проблемах ИТ-аутсорсинга в России и о том, как Банк России выбирает компании-подрядчиков для реализации своих многочисленных ИТ-проектов, рассказал в интервью НБЖ заместитель председателя Банка России Михаил СЕНАТОРОВ.

В СТО БР ИББС ОБОБЩЕНЫ ЛУЧШИЕ ПРАКТИКИ РОССИЙСКОГО И МЕЖДУНАРОДНОГО ОПЫТА СТАНДАРТИЗАЦИИ

— Михаил Юрьевич, как изменилась, с вашей точки зрения, роль ИТ в банковском секторе в посткризисный период? На что, по вашим наблюдениям, направлена сейчас ИТ-активность банков и каковы основные задачи ИТ в настоящее время?

— Давайте при ответе на ваши вопросы я буду исходить из того, чем занимается департамент информационных систем Банка России. На мой взгляд, одна из главных задач, которая стоит сейчас перед нашими банками, — это задача обеспечения информационнойбезопасности и защиты персональных данных.Михаил сенаторов: «сто бр иббс - тот самый фундамент, на котором финансово-кредитные организации могут выстраивать собственные системы информационной безопасности» И в этом смысле финансово-кредитным организациям очень помогает выполнение рекомендаций стандарта информационной безопасности Банка России (СТО БР ИББС).

Этот стандарт в свое время был разработан и написан для ЦБ, но он содержит много общих положений, которые могут быть перенесены на «платформу» коммерческих банков. Поэтому нет ничего удивительного в том, что многие финансово-кредитные организации взяли его за основу для развития своей собственной системы информационной безопасности.

— Выполнение этого стандарта является обязательным для банков?

— Нет, банки могут ему не следовать, могут разрабатывать собственные стандарты или пользоваться другими стандартами, в том числе и международными. Но в СТО БР ИББС обобщены лучшие практики российского и международного опыта стандартизации. Стандарт, разработанный нами, прост, понятен и удобен, выполнять его рекомендации всегда было полезно, а сейчас особенно. Ведь не секрет, что банки все чаще сталкиваются с попытками — удачными или нет — хищения средств и персональных данных клиентов.

Ущерб от этой деятельности оценивается в сотни миллиардов долларов по всему миру. Российские банки тоже не обойдены вниманием криминальных структур, и для них это представляет достаточно серьезную проблему, с которой надо бороться. СТО БР ИББС — это тот самый фундамент, на котором финансово-кредитные организации могут выстраивать собственные системы безопасности.

Участники рынка это осознают и присоединяются к стандарту добровольно, а не под нашим нажимом.

— Но, судя по всему, присоединяются далеко не все банки. Нет ли у ЦБ в связи с этим намерения сделать СТО БР ИББС обязательным для выполнения? Или вы рассчитываете, что банки и в дальнейшем сами будут присоединяться к нему, возможно, даже более активно с учетом возрастающего числа попыток хищения средств и персональных данных клиентов?

— Стандарты не бывают обязательными. Хотите — следуйте стандарту, не хотите — не следуйте. Это ваши проблемы.

Если вы делаете стандарты обязательными для выполнения, значит берете на себя ответственность. Предположим, что банк выполняет их, у него возникают проблемы с ИБ, он приходит к нам и говорит: «Я следовал вашему стандарту, делал все, что там прописано, понес такие-то потери, значит, вы должны мне их компенсировать». Такую ответственность Банк России брать на себя не может, поскольку он не занимается оперативным управлением коммерческими банками.

— Вы сказали, что сформировалось общество банков, которые придерживаются этого стандарта в своей деятельности. А можно оценить, каково количество этих банков и кто проявляет наибольшую сознательность в данном вопросе: организации, которые принято считать лидерами рынка, или банки различного уровня?

— Банки различного уровня. В основном на первом этапе к стандарту присоединялись финансово-кредитные организации «средней руки», входившие в первую сотню, но не занимавшие лидирующих позиций в этом перечне. Это естественно, потому что у банков ТОП-10 свои проблемы, с которыми они столкнулись уже давно и которые привыкли решать самостоятельно.

Сбербанк, Альфа-Банк, Газпромбанк и др. раньше других «построили» свои системы оценки и управления рисками. Банки меньшего калибра не всегда обращали внимание на эти составляющие: у них и бизнес не настолько большой, и численность сотрудников не такая впечатляющая.

Не стоит забывать и еще один факт. Банки первой десятки аудируются не только российскими, но и иностранными компаниями.Они хотят отвечать международным нормам и стандартам, чтобы иметь возможность выходить на рынки капитала, привлекать стратегических инвесторов и т.д. Для этого им нужно показывать, что они соблюдают все подходы, требования и правила, которые есть в международной банковской системе. Поэтому систему стандартизации они у себя выстроили уже давно.

А банки поменьше «ухватились» за наш стандарт, поскольку он разработан регулятором, понятен и удобен в применении.

— Можно ли сказать, что на сегодняшний день ТОП-100 банков, контролирующих более 90 активов банковской системы, придерживается стандарта информационной безопасности Банка России?

— Я бы сказал так: большинство этих банков используют стандарт Банка России. Полностью они придерживаются его рекомендаций или нет -это уже решение самих банков.

— То есть вы не отслеживаете, какие банки полностью придерживаются стандарта, а какие нет?

— Нет, поскольку такое отслеживание не является нашей задачей. Мы видим свою цель в том, чтобы предоставить некий инструментарий, с помощью которого банк сможет поднять свою информационную безопасность. Поскольку мы не отвечаем за ИБ каждого конкретного банка, то давать суждения о степени его защищенности мы не можем. Но мы говорим, что существуют проблемы, риски хищения денег и риски бизнеса.

А что это означает на практике? Если финансово-кредитная организация ненадлежащим образом защищает своих клиентов, то они будут уходить из нее в другие банки. Она потеряет свой бизнес.

Банки это хорошо понимают, у них была возможность убедиться в этом на практике, ведь СТО БР ИББС вышел достаточно давно, его первая редакция появилась на свет около 8 лет назад. Тогда это было новым словом, потому что до этого банки не обращали внимания на международные стандарты ИБ.

— А на российские?

— А российских стандартов не было вообще, в «лихие девяностые» система стандартизации в России была разрушена. Никто никаких общих стандартов не придерживался, каждый участник рынка выстраивал свою систему безопасности как хотел.

— А до «лихих девяностых» существовали какие-то советские стандарты?

— Были государственные стандарты (ГОСТы). На основе ГОСТов мы построили мощнейшую, развитую державу.

— Я имею в виду сферу информационной безопасности.

— Информационная безопасность совершенствовалась вместе с развитием информатизации, а информатизация развивалась в процессе создания тех или иных автоматизированных систем. И все это развитие осуществлялось на базе стандартов. Представьте, что перед вами стоит задача создания той или иной системы.

Неизбежно возникают вопросы: что должно рассматриваться как начальный этап ее создания, что как стадия разработки, что как стадия внедрения, эксплуатации. Ответы на все эти вопросы давали стандарты, в которых описывались указанные стадии. Если вы не работаете по этим стандартам, значит, вы непонятно зачем изобретаете велосипед.

Конечно, если у вас много денег и много времени, можно заниматься и такой пустой работой, но если вас волнует бизнес, то работать, не придерживаясь стандартов, не только бессмысленно, но и опасно.

— «Лихие девяностые» ушли в прошлое…

— Да, но с их последствиями мы сталкиваемся до сих пор. Ведь что тогда произошло: крупные коллективы, которые придерживались стандартов, — в «оборонке» и в ведущих наших технических областях — распались. Люди, входившие в эти коллективы, разошлись.

Органы, которые должны были следить за правильным проведением всех стадий создания, разработки и эксплуатации проектов, перестали функционировать. На смену тем, кто привык работать в соответствии со стандартами, пришло новое поколение по большей части необразованное в данной области, потому что этим людям не преподавали основы стандартизации в высших учебных заведениях. В лучшем случае поверхностно знакомили с данной темой.

Если бы производство сохранилось, то необходимые знания по стандартизации молодые специалисты получали бы в процессе работы. Но производство, как вы, наверное, помните, как раз и развалилось в 90-е годы.

В результате возникло огромное число людей, которые не понимают, что такое стандарт, зачем он нужен и как следует создавать системы. И мы сейчас с этим сталкиваемся повсеместно: новое поколение молодых менеджеров в области информатизации со стандартами вообще не знакомо. Каждый из них в результате начинает придумывать свою методику создания системы, теряется общий язык, на котором специалисты могли бы общаться друг с другом.

Разрушается цепочка: создание проекта, начальная стадия, ввод проекта в эксплуатацию, стадия разработки и т.д. А отсутствие этой цепочки хорошо только для тех, кто ставит перед собой цель потратить деньги — как это сейчас говорится, «распилить». Таким людям, конечно, стандарты не нужны, им они будут только мешать.

Если же создавать систему всерьез и надолго, то без стандартов не обойтись, они помогают, упорядочивают движение. Возьмите правила уличного движения — это тоже стандарт. Почему вы едете по правой стороне, а не по левой?

Вот вам хочется ехать по левой стороне, а навстречу вам все время идут машины. Ну и кто в этой ситуации будет выглядеть идиотом: вы или водители этих машин? Естественно тот, кто игнорирует стандарты, которыми пользуются все остальные люди.

— Вы сказали, что первая редакция СТО БР ИББС появилась в начале 2000-х годов. Что вас подвигло на ее создание? Были какие-то пожелания со стороны банков, чтобы для них регулятор изобрел «правила дорожного движения»?

— Нет, как я уже сказал в начале нашей беседы, мы делали это для себя. Потому что мы понимали: надо развивать базу стандартизации. ГОСТы важны, и на них следует опираться, но помимо ГОСТов вводились уже новые стандарты. Это было естественно: в начале 90-х годов прошлого века и в первые годы нового тысячелетия информационные технологии бурно развивались, «тянули» за собой новые понятия и создавали почву для возникновения новых подходов.

Эти подходы, соответственно, выражались в международных стандартах, которые выпускались в США, в европейских странах.

В этих стандартах были толковые рекомендации, которые надо было учитывать. Поэтому мы занялись их анализом, выбрали из них то, что было нужно для нашей системы, и создали стандарт информационной безопасности, в первую очередь, для себя. Когда мы стали его применять, то поняли, что в нем содержится очень много положительных моментов, способствующих упорядочиванию работы организаций Банка России.

Естественно, мы не стали замалчивать этот факт, в результате нашим стандартом заинтересовались участники банковского рынка. Ассоциация российских банков проанализировала стандарт и рекомендовала его финансово-кредитным организациям к применению. В результате возникло сообщество банков и организаций, которые стали выполнять наш стандарт в инициативном порядке.

Это сообщество или, точнее, организация называется ABISS, она ежегодно проводит много мероприятий, связанных с обучением, подготовкой людей.

Центральный банк тоже не стоял на месте. Через какое-то время мы поняли, что требуется доработка стандарта, его расширение, совершенствование методики его применения, методики оценки, аудита информационной безопасности. Поэтому появилась на свет вторая редакция стандарта.

— То есть стандарт меняется не так уж часто: за десять лет всего два раза?

— Стандарт не меняется, он просто дорабатывается. Появляются новые механизмы, которые можно достаточно эффективно использовать, и они включаются в новую редакцию.

— Если я правильно поняла, то для создания первой редакции СТО БР ИББС Банк России проанализировал существовавшие на тот момент международные стандарты в сфере И Б. А в странах, где эти стандарты были разработаны, они тоже не являются обязательными к выполнению?

— Нет, не являются. При этом есть стандарты американские и европейские, они созвучны между собой. Вокруг каждого из стандартов возникает сообщество профучастников, которое вырабатывает правила, наиболее востребованные на сегодняшний день.

— В начале нашей беседы вы сказали, что объем хищений в мире исчисляется сотнями миллиардов долларов. И Россия тоже не обойдена вниманием «высокотехнологичного» криминалитета. Но не напрашивается ли вывод, что наши банки только-только начинают ощущать на себе издержки этого повышенного внимания?

— Я бы так не сказал. Мы уже много лет констатируем наличие данной проблемы. Другое дело, что о попытках хищения средств или персональных данных — особенно об удачных попытках -стараются не говорить, потому что это подрывает репутацию банковской организации.

По оценкам же различных экспертов и агентств, объем средств, похищенных с банковских счетов в России, исчисляется миллиардами рублей.

ВЫПОЛНЕНИЕ РЕКОМЕНДАЦИЙ СТО БР ИББС ПОЗВОЛЯЕТ БАНКАМ ПОВЫШАТЬ УРОВЕНЬ ЗРЕЛОСТИ СВОИХ СИСТЕМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

— Но ведь вряд ли СТО БР ИББС -абсолютная панацея от этой беды. Очевидно, банки должны не только выполнять рекомендации стандарта, но и предпринимать другие меры и шаги по борьбе со злоумышленниками?

— Бороться можно разными путями. Что такое стандарт безопасности? Он говорит: «Ребята, вы сталкиваетесь с угрозами в сфере ИБ, опишите их. Как только вы описали эти угрозы, подумайте, какие мероприятия по минимизации этих угроз вы должны применить».

При этом имеются в виду не только технические, но и организационные, имиджевые и любые другие мероприятия, которые банк считает необходимыми. То есть мы рекомендуем ему создать полную картину, идти в своей деятельности от осознания и описания угроз к разработке мер по защите своих интересов.

Если финансово-кредитная организация, например, развивает дистанционно-банковское обслуживание и сталкивается с хищением средств путем подложных обращений от клиентов, это означает одно — ее клиент не защищен должным образом. Что такая организация должна сделать? Во-первых, осуществить технические мероприятия — предоставить клиенту более совершенные и более гарантированные технические средства, которые исключили бы возможность подмены паролей, ключей, логинов и т.д.

Во-вторых, осуществить организационные мероприятия — провести разъяснительную работу с клиентами о необходимости соблюдения определенной дисциплины. Это все связано между собой, стандарт как раз об этом говорит.

Хотел бы отметить еще одно: в стандарте вводятся определенные параметры зрелости банка с точки зрения того, как он отвечает на вызовы и угрозы своей системы информационной безопасности. Есть определенные критерии, по которым выставляются оценки.

— И банк имеет возможность самостоятельно определить степень зрелости своих профильных структур?

— Да. Например, с помощью анкетирования банк приходит к выводу, что он находится на уровне зрелости «два». Не самый начальный уровень, но все же не слишком высокий…

— А сколько всего уровней зрелости «прописано» в стандарте?

— Шесть: от нуля до пяти.

— И есть банки, которые уже достигли высшего уровня зрелости?

— Нет, таких пока нет.

— Даже Сбербанку это не удается?

— А вы думаете, если Сбербанк большой, значит у него все самое хорошее, в том числе и система информационной безопасности? Это так только кажется.

— Ну, на рынке принято говорить, что в «Сбере» работают лучшие ИТ-специалисты и лучшие специалисты в сфере информационной безопасности. Но если даже Сбербанк не достигает уровня «пять», значит этот уровень -некий идеал, к которому надо стремиться, но который пока остается недостижимым?

— Конечно. Уровень зрелости «пять» — это стопроцентное обеспечение информационной безопасности. А такое возможно только в случае, если банк ничего не делает и, соответственно, не принимает на себя никаких рисков.

— Чисто технический вопрос: предположим, я являюсь руководителем банка, провожу в своем банке анкетирование по СТО БР ИББС и выясняю, что уровень зрелости моей системы информационной безопасности равен «тройке». Я должна сообщить об этом ЦБ и вообще кого-либо проинформировать об этом не самом блестящем результате анкетирования?

— Нет, это никому не нужно, потому что обнародование результатов анкетирования может нанести удар по репутации вашего банка. Клиенту эта информация точно не нужна — она необходима вам, как руководителю финансово-кредитной организации, для того чтобы понять, на каком уровне развития систем защиты находится ваш банк. Предположим, что возглавляемая вами организация по результатам анкетирования (при условии, что оно проведено честно и правильно) находится на втором уровне зрелости.

В стандарте содержатся рекомендации, как перейти со второго уровня на третий, что надо сделать, на что обратить особое внимание. Если банк, предприняв соответствующие шаги, поднимается на третий уровень зрелости — что ж, в стандарте содержатся рекомендации, как можно достичь четвертого уровня. Конечно, при условии, что банк в этом заинтересован.

— А он может быть в этом не заинтересован?

— Естественно. Ведь подъем на каждый новый, более высокий уровень зрелости — это дополнительные затраты, то есть дополнительные деньги, которые банку придется вложить в развитие своей системы информационной безопасности. А может быть, ущерб, который он понесет в случае реализации сохранившихся рисков, не настолько большой по сравнению со средствами, которые ему придется потратить, чтобы перейти на новый уровень зрелости?

Банку следует определиться, какие риски для него являются первостепенными, какие необходимо минимизировать, какие нужно регулировать, а с какими можно смириться, поскольку эти риски даже в случае их реализации не будут катастрофическими для бизнеса. Здесь все время идет работа, стандарт — не застывший документ.

— Итак, банки не информируют ни клиентов, ни ЦБ о том, на каком уровне зрелости они находятся, поэтому вы вряд ли можете мне сказать, сколько банков к настоящему моменту достигло третьего уровня зрелости, сколько второго и сколько участников рынка «застыли» на первом. Но, по крайней мере, ЦБ отслеживает численность сообщества, сформировавшегося вокруг СТО БР ИББС?

— Этот показатель постоянно увеличивается. Количество банков, различных компаний, которые занимаются вопросами информационной безопасности, аудиторских компаний -короче, организаций, использующих в своей практической деятельности стандарт Банка России, стабильно растет.

ИТ ПОЗВОЛЯЮТ ВЫСТРАИВАТЬ СИСТЕМУ ОБСЛУЖИВАНИЯ, КОТОРАЯ ДАЕТ КЛИЕНТУ ПОЧУВСТВОВАТЬ: ОН НЕ НЕКАЯ АБСТРАКТНАЯ ЕДИНИЦА, А ЛИЦО, В КОТОРОМ БАНК ЗАИНТЕРЕСОВАН

— Сейчас проблема информационной безопасности действительно одна из самых обсуждаемых. Особенно актуальной она стала в свете вступления в силу ФЗ «О национальной платежной системе». Там ведь есть пункт, в соответствии с которым банки будут обязаны компенсировать клиентам потери, понесенные из-за взлома счетов, независимо от степени виновности или невиновности банков.

— За рубежом такая практика стала появляться. Банки теперь обязаны компенсировать потери средств со счетов клиентов, если эти потери вызваны недостаточной защищенностью клиентов или недостаточно развитым обслуживанием клиентов со стороны банков.

Правильно ли это? Представим себе, что налицо фишинг — подмена ваших данных и, как результат, списание средств с вашего счета. Может ли банк этому воспрепятствовать в самом начале процесса, пока вы еще не понесли серьезных потерь?

Да, может, если он внимательно отслеживает и анализирует ваши операции — где вы платите обычно, какие суммы, какие товары или услуги чаще всего приобретаете. То есть если у банка есть ваш клиентский профиль. Предположим, что много лет подряд этот профиль был одним, и вдруг он резко изменился: вы начали приобретать товары в других странах и платить за них совсем другие суммы, чем обычно.

Банк это видит, и он должен обязательно с вами, как с клиентом, переговорить, выяснить, не переехали ли вы, не изменилось ли ваше финансовое положение. Если вы на эти вопросы даете отрицательный ответ, то банк начинает расследование, и процесс хищения у вас со счета средств не заходит далеко.

Информационные технологии сейчас достигли такого уровня развития, что с их помощью можно создавать профиль клиента. Они позволяют персонифицировать его, финансовые инструменты, которые ему нужны. Это стало проявляться на рубеже 10-х годов XXI века, и это будет набирать силу.

— И тогда девиз «знай своего клиента» станет реальностью?

— Да. Посмотрите сами -появились социальные сети, открытые интернет-пространства, где люди могут обмениваться идеями, наблюдениями, впечатлениями и т.д. Многие компании используют эти сети, чтобы проводить маркетинговые кампании, анализировать рынок, выпускать новые продукты в продажу.

И банки могут делать то же самое.

— И уже делают.

— А еще они могут выстраивать систему обслуживания, которая дает клиенту почувствовать: он не некая абстрактная единица, а лицо, в котором банк заинтересован. Конечно, чтобы выстроить такую систему, нужно совершить немалые вложения, но в конечном итоге она даст банку хорошую отдачу.

И коль скоро информационные технологии позволяют персонифицировать клиента, то возможным становится и то, о чем я говорил выше, — банк может сразу улавливать подозрительные транзакции, информировать о них клиента и пресекать действия злоумышленников на корню. Все это понимают и, естественно, начинают перекладывать ответственность на банк. Мол, ребята, технологии позволяют, не спите, быстро реагируйте на действия злоумышленников — и все будет в порядке.

— В случае реализации сценария, описанного вами, действительно ничего страшного не произойдет: если банк пресечет действия злоумышленника, что называется, «на старте», то клиент не понесет больших потерь, и компенсационные выплаты со стороны банка будут незначительными.

— Да. Но, чтобы банки лучше все поняли и быстрее начали реагировать, выпускается соответствующее предписание: в случае хищения средств со счетов клиентов будет виноват банк, в котором обслуживается человек или компания. И этот банк примет на себя ущерб.

— Судя по реакции банкиров, они достаточно сильно встревожены этим предписанием.

— Такая реакция вполне естественна: никто не хочет тратить лишние деньги, покупая новые продукты в сфере информационной безопасности и устанавливая их. Это неизбежно приведет к увеличению внутренних расходов банков. Поэтому вокруг данного предписания идут постоянные дискуссии, поэтому сформировались лоббистские группы, одна из которых выступает против утверждения данного предписания, а вторая — за его утверждение. Кто победит?

Пока трудно сказать.

В АВТОМАТИЗАЦИЮ ПРИХОДИТСЯ ВКЛАДЫВАТЬ НЕМАЛЫЕ СРЕДСТВА, НО ЗА СЧЕТ НЕЕ ПОВЫШАЕТСЯ СКОРОСТЬ ПРОЦЕССОВ

— Не знаю, говорят ли вам банкиры такие вещи напрямую, но в рамках наших «круглых столов» по информационной безопасности они недвусмысленно дают понять: если банкам придется компенсировать клиентам ущерб, то соответствующие расходы банков будут переложены на клиентов. Путем простого и банального увеличения стоимости различных банковских услуг для конечных потребителей.

— Вообще-то это шантаж!

— И любимый аргумент банкиров, когда речь идет об увеличении регуля-торной нагрузки.

— Повторюсь, это шантаж. Как только разговор заходит об увеличении издержек банков, так банкиры сразу говорят: издержки за ваш счет! Впрочем, справедливости ради следует сказать, что характерен такой подход не только для финансово-кредитных организаций, но и для компаний, работающих в других секторах экономики.

Естественно, что любая коммерческая организация стремится показать как можно более высокую доходность. Практика такова, что если вы сокращаете внутренние издержки хотя бы на 1, то доходность вашего бизнеса повышается на 3. И как раз использование передовых информационных технологий позволяет банкам сильно экономить на внутренних издержках.

— Хорошо, что мы заговорили о социальных сетях, в связи с этим я вспомнила о небанковских участниках финансового рынка, которые так же активно используют эти сети для продвижения своих услуг. Сейчас много разговоров о том, что недалек тот день, когда ЦБ станет регулятором не только для банков, но и для этих организаций.

Если я правильно понимаю, это означает, что, возможно, вскоре вам придется регулировать деятельность этих компаний и с точки зрения обеспечения информационной безопасности. По вашему мнению, они готовы к тому, чтобы выполнять рекомендации СТО БР ИББС?

— Давайте разделим этот вопрос на несколько пунктов. Пункт первый — решение о создании мегаре-гулятора финансового рынка еще не принято, пока это скорее удачный информационный повод, чем реальность. Решение по данному вопросу будет принято, когда взвесят все «за» и «против».

Потому что, с одной стороны, тенденция к созданию мегарегуля-торов в мире есть, с другой стороны, мировой опыт в данном вопросе неоднозначен.

— Предположим все-таки, что на базе Банка России будет создан финансовый мегарегулятор.

— Что ж, тогда мы будем привлекать небанковские организации к выполнению нашего стандарта. Но, как и в случае с банками, на добровольной основе.

— Вернемся к вопросу об информационных технологиях. Вы сказали, что их использование позволяет банкам сокращать внутренние издержки. От банкиров же часто приходится слышать несколько иное: ИТ-проекты затратны, сложно рассчитать их эффективность, они во многих случаях «бесконечны»…

Точно так же дело обстоит и с автоматизацией банковской деятельности. Да, в нее приходится вкладывать немалые средства, но за счет нее повышается скорость процессов. А как только повышается скорость процессов, увеличивается количество операций, которые можно провести за один и тот же отрезок времени.

Например, платежная система. У нас есть агрегат «М2» -объем наличных денег и остатки на счетах. Но надо понимать, что количество денег, ежедневно участвующих в обороте, превышает этот показатель, ведь одни и те же деньги могут совершать несколько оборотов в течение дня. А как можно увеличить число этих оборотов? Только за счет автоматизации, за счет перехода к электронным деньгам.

Может, вы помните, что в начале 90-х годов у нас были «платежные заторы», когда платежи «зависали» на несколько дней, а то и недель. А сейчас платежи проходят в течение нескольких минут. В результате один и тот же рубль может несколько раз пройти «по кругу» — и это заслуга автоматизации. Она дает оборот средств, а оборот приносит банкам доход.

На этом фоне не слишком искренне звучат жалобы банкиров на то, что автоматизация и ИТ -это расходная часть для банков.

АУТСОРСИНГ ХОРОШ, КОГДА РЕЧЬ ИДЕТ 0 РАБОТЕ ОРГАНИЗАЦИИ В НЕПРОФЕССИОНАЛЬНОЙ ДЛЯ НЕЕ ОБЛАСТИ

— Ну, они не совсем так говорят -скорее, жалуются на то, что решения дорогие, их приходится «докручивать», аутсорсинг не развит…

— Если на то пошло, то аутсорсинг не панацея. Это куда более дорогое удовольствие, чем содержание собственного штата специалистов.

— Тем не менее в США и в европейских странах с его помощью банки решают много проблем.

— Вот именно, что много, а не все. Аутсорсинг хорош, когда речь идет о работе организации в непрофессиональной для нее области. Представьте себе, что банк обзавелся животноводческим хозяйством. С одной стороны, это неплохо — можно будет кормить сотрудников свежим мясом и поить парным молоком.

Но, с другой стороны, председателю правления банка, хочет он этого или нет, придется вникать в дела этого хозяйства и управлять им. С точки зрения временных затрат проще покупать мясо на рынке, хотя там оно, конечно, дороже — ведь вам придется оплачивать издержки, которые несут промежуточные структуры, доставляя мясо от производителя. Но при этом вы сможете потратить больше времени на развитие своего профильного бизнеса, и его эффективность возрастет.

Собственно говоря, вот что такое аутсорсинг для банков.

— Если следовать вашей аналогии, есть надежда, что купленные у внешнего подрядчика услуги будут качественнее, чем услуги, произведенные «внутри». Но банкиры часто сетуют на то, что в России нет практики составления и подписания SLA (Service Level Agreement -прим. ред.), и это препятствие для получения высококачественных аутсорсинговых услуг.

— А вы предложите тем, кто озвучивает такие идеи, перейти в своей работе на счеты. Проводите свои операции с помощью счет — и не надо будет держать штат компьютерщиков, не надо будет обновлять сами компьютеры и программное обеспечение на них. Представляете, какая экономия?

Откажитесь от гелевых ручек и перейдите на перьевые — тоже налицо прекрасная статья экономии. А поскольку дорого платить за квартиру в Москве с горячей водой, электричеством и телефоном, переберитесь в деревянный домик с русской печкой, без связи, тепла и электричества. Вы сэкономите на оплате всех этих услуг, зато потратите намного больше времени на то, чтобы обеспечить себя водой, теплом и прочими удобствами, к которым вы привыкли.

— Тут такая проблема: провайдер таких услуг должен быть финансово достаточно сильным, чтобы ответить деньгами в случае, если он предоставит заказчику некачественные услуги, и заказчик в результате понесет из-за этого ущерб. Таких игроков у нас на рынке нет! Мы бы с удовольствием отдали часть наших технологий на аутсорсинг, но, если в результате возникнут сбои, это будет стоить аутсорсерам сотни миллиардов рублей.

Есть желающие нести такую ответственность? Нет.

— Я готова допустить, что российские провайдеры не готовы взять на себя такую ответственность. Но ведь у нас работают и западные компании, обладающие огромными финансовыми ресурсами. У себя «дома» они подписывают с банками SLA, почему же не хотят делать это у нас?

— По простой причине: даже если западный вендор приходит к нам, все равно он работает на нашем рынке с помощью российских «рук». Иначе и быть не может. Необходимое количество иностранных специалистов вы сюда не привезете, а даже если привезете, то столкнетесь с разностью национальных менталитетов, привычек, культурной среды, законодательств и т.д.

Поэтому вендору приходится здесь создавать коллективы из наших специалистов, а это не быстрый процесс. Правда, должен сказать, что мы в ЦБ потихоньку начинаем внедрять аутсорсинг.

— И какие задачи передаются Центральным банком на аутсорсинг?

— Например, мы создаем автоматизированные системы. Каждая из таких систем требует обслуживания, а обслуживание требует определенного количества людей. Нагрузка на сотрудников ИТ у нас очень высокая, и она постоянно возрастает.

У нас просто не хватает рук, для того чтобы качественно обслуживать ту или иную созданную систему.

Поэтому мы подписываем с подрядчиком или вендором, разработавшим и установившим систему, расширенное соглашение об обслуживании, и подрядчик или вендор предоставляет нам своих людей.

— То есть речь идет об аутстаффинге?

— Я бы сказал, о сочетании аутстаффинга и аутсорсинга. Специалисты, предоставленные вендором, берут на себя развитие программного обеспечения, они следят, находясь за стойками управления, за работой системы, выходят в смены. Просто мы поставлены в такие условия, что не можем бесконечно набирать сотрудников в штат.

Поэтому обращаемся к аутсорсингу, который, повторюсь, дорог, но зато позволяет экономить время и силы штатных ИТ-сотрудников.

— Банк России во многих отношениях — пример для коммерческих банков, поэтому, я думаю, нашим читателям будет интересно узнать, по каким критериям вы выбираете подрядчиков. Кроме такого критерия, как цена услуги.

— Цена не является определяющим критерием в данном вопросе, на нее следует ориентироваться, когда речь идет о покупке ручек или картриджей для принтеров. А здесь мы оцениваем, во-первых, уровень технической экспертизы подрядчика в той области, которая нас интересует. Это первое. Второй критерий — умеет ли он работать с Центральным банком.

Это тоже очень важно, потому что если мы выбираем между организацией, которая уже с нами работала, и организацией, которая еще не работала с нами…

— И если у них равный уровень экспертизы…

— То мы выбираем первую.

— И что же — сразу очерчивается узкий круг подрядчиков?

— Почему же узкий? У Банка России сотни подрядчиков. Мы работаем с организациями, входящими в первую десятку российских ИТ-компаний, и с очень маленькими компаниями, штат которых — несколько десятков человек.

— А с западными компаниями?

— Реже, в основном с российскими.

«ОРГАНИЗАЦИИ-ПРОКЛАДКИ» МЫ ВЫЯВЛЯЕМ ЕЩЕ НА ДОКОНКУРСНОЙ ОСНОВЕ. НАШИМИ ПОДРЯДЧИКАМИ ОНИ СТАНОВЯТСЯ КРАЙНЕ РЕДКО

— Тогда такой вопрос: предположим, ваш подрядчик — небольшая российская компания, и она что-то «напортачит». Она же при всем желании не сможет возместить ЦБ понесенный ущерб. Она просто разорится.

— Во-первых, такие компании не допускаются до очень серьезных проектов не только потому, что у них ограниченные финансовые возможности, но и потому что у них небольшой штат сотрудников. 5-7 человек не в состоянии создать автоматизированную банковскую систему. Если только эта организация не является «компанией-прокладкой».

— В смысле «прокладкой»?

— Так мы называем компании, которые берут на себя контракт и раздают его затем «по кускам» другим подрядчикам. Я все время борюсь с организациями, которые не могут выполнить больше 50 законтрактованных работ. Если можете, то мы не против, чтобы вы 30-40 отдавали субподрядчикам.

А вот если вы готовы выполнить 20-30, а остальное «сбыть» на сторону, то мы сотрудничать с вами не будем.

— Но ведь компания может сказать -да, мы все сделаем сами, а потом, после подписания договора, оставить себе 20-30, а остальное, как вы сами сказали, «сбыть» на сторону.

— Бывало и такое. Что ж, мы выявляем таких и не допускаем их до следующих тендеров.

— Но так может действовать и крупная компания — просто она будет раздавать заказ «по кускам» своим дочерним организациям.

— А это пожалуйста. Если крупная компания — обычно это холдинговая структура — так поступает, то мы знаем, с кого в конечном итоге мы сможем спросить за качество предоставленных услуг. Она несет ответственность за своих «дочек».

А в случае с «компанией-прокладкой» ответственность распыляется, и найти «крайнего» становится сложно.

— К настоящему моменту у Банка России сформировался «костяк» компаний, с которыми он постоянно работает в сфере аутсорсинга?

— Да. У нас таких компаний около 50. Предупреждая ваш вопрос, хочу сказать — это совершенно необязательно крупные компании.

Они «закрывают» отдельные участки, нас устраивает их уровень обслуживания, и мы сотрудничаем с ними уже несколько лет подряд. Конечно, бывает, что кто-то выбывает из «костяка», но для этого надо, чтобы компания «сглупила», потеряла техническую экспертизу. Такие прецеденты случаются крайне редко.

При этом всегда есть свободные ниши, которые возникают на каждом этапе развития автоматизации, и в эти ниши приходят новые компании-подрядчики, имеющие соответствующую экспертизу.

— Хорошо, тогда такой вопрос: всего подрядчиков у ЦБ, как вы сказали, несколько сотен. Их деятельность ведь надо если не жестко контролировать, то хотя бы отслеживать. Хватает ли у вашего управления сил для этого?

Или тоже нанимаются компании, которым передаются функции контроля за подрядчиками?

— Нет, отслеживаем и контролируем деятельность подрядчиков мы сами. У нас есть автоматизированные системы подготовки и ведения договоров, ведения проектов. В эти системы передается информация по всем стадиям реализации проектов.

Соответственно, мы всегда можем поднять файл по той или иной компании, обобщить ее работу по ряду проектов, посмотреть, вовремя ли она подготовила и подала документы, выполнила первый, второй и т.д. этапы работы, какие у нее возникали задержки и почему.

— А подобные «замеры» проводятся на регулярной основе?

— Да. Предположим, Банк России объявляет очередной конкурс, вы, будучи нашим подрядчиком, подаете заявку на участие в нем. Мы включаем вас в конкурс и поднимаем ваш «профиль», чтобы посмотреть, в какой области вы сильны, в какой нет, не участвовали ли в сговорах…

— Здесь тоже есть место сговорам?

— Почему же нет? Компании общаются между собой, следят за рынком, и никто не дает конкурентам особо уходить в отрыв. Если они видят, что новая компания ведет себя слишком агрессивно, нападает на одного из старых участников рынка, то остальные компании объединяются против нее и начинают обороняться.

Когда мы вызываем компании на конкурс, то видим: те, кто обороняется от агрессивного новичка, выстраивают свое участие в конкурсе так, чтобы агрессор ни в коем случае его не выиграл.

— И что они делают для этого?

— Соглашаются на то, что конкурс выиграет один из них, поддерживают его, позволяют ему упасть по цене. Мы иногда такие вещи вскрываем.

— А стоит ли их вскрывать? Разве ЦБ, как заказчику, не выгодно, чтобы в результате сговора цена вопроса упала?

— Это как раз не всегда выгодно. У нас были случаи, когда мы выбирали компанию, упавшую по цене. Потом возникал страховой случай, выходило из строя оборудование, мы говорили подрядчику: вы обязаны его отремонтировать.

А он отвечал: а у меня нет денег, вендор дал нам скидку, а мы ее отдали вам. Звоним вендору, говорим: «Действуйте!», а он отвечает: а мы дилеру специально дали скидку, и он должен эту маржу использовать, чтобы отремонтировать вышедшее из строя оборудование. Сами можете убедиться, ситуация патовая.

Никто не хочет ремонтировать оборудование, а у нас такой статьи, как его ремонт, нет. Зато есть на руках договор, который, как выясняется, не работает.

— Но ведь есть и какое-то превентивное решение для таких проблем?

— Конечно. Мы подписываем с основными вендорами специальный договор, в котором утверждаем цены по основному составу оборудования. Эти цены являются неизменными для Банка России независимо от того, кто по результатам конкурса станет нашим подрядчиком.

И дальше мы сравниваем подрядчиков не по тому, какие цены они нам предложат, а по тому, какие у них знания и какая техническая экспертиза. А также по тому, сколько стоят эти знания и экспертиза.

— Но эти зафиксированные в договоре цены на оборудование должны быть интересны, по крайней мере, нескольким вендорам?

— Во-первых, у нас не мультивендорная политика. Мы обычно выбираем двух вендоров по одному направлению, третий вендор допускается крайне редко. Во-вторых, количество таких вендоров в мире невелико, никаких новых образований за последние 20 лет в этом сегменте рынка не появилось.

С этими двумя вендорами мы работаем уже давно, они знают, какой объем оборудования и программного обеспечения потребляет Банк России ежегодно. Мы знаем их «street prices» — цены для первого встречного — и постоянно ведем с ними переговоры о скидках. Я не могу назвать вам конкретные цифры, но поверьте на слово — скидки, которые они предоставляют Банку России, уникальны.

— Вендоров привлекает сама возможность работать с Центральным банком России или запрашиваемый объем оборудования и программного обеспечения?

— Их привлекают, прежде всего, долгосрочность сотрудничества, объемы работ, и, естественно, ссылка на сотрудничество с Банком России в годовых отчетах тоже чего-то стоит. Если сотрудничество приносит действительно впечатляющие результаты, мы оповещаем о них рынок. Для компаний-вендоров и компаний-подрядчиков это тоже немалый репутационный плюс.

— А если складывается обратная ситуация и вы выявляете «компанию-прокладку», о ней вы тоже рынок оповещаете?

— Нет, мы просто с такой компанией больше не работаем. Если нас спрашивают о ней, то предупреждаем о том, что она раздает проект «по кускам» субподрядчикам. Но я хотел бы добавить, что обычно мы выявляем такие компании еще на доконкурсной стадии.

До участия в конкурсе и тем более до победы на нем они доходят крайне редко.

СОЗДАТЬ СИСТЕМУ — МЕНЬШЕ, ЧЕМ ПОЛДЕЛА, САМОЕ СЛОЖНОЕ -ПРАВИЛЬНО ЭКСПЛУАТИРОВАТЬ ЕЕ И НЕ ДАВАТЬ ЕЙ «УПАСТЬ»

— Последнее, что хотела бы спросить: а как осуществляется подбор ИТ-специалистов в самом Центральном банке? Вы перекупаете специалистов из банков или из ИТ-компаний?

— У нас было две стадии в кадровой политике. Первая стадия -середина 90-х годов, когда к нам пришли высококлассные специалисты из вооруженных сил и оборонной промышленности. Это были люди в возрасте от 40 до 50 лет, хорошо подготовленные, с прекрасным образованием, очень дисциплинированные и ответственные.

Иными словами, это была элита, которая очень быстро запустила информационную систему Банка России.

Сейчас пошла «вторая волна», мы стали набирать много молодежи. По каким критериям? Прежде всего, наличие профильного образования. Второй критерий — стаж работы, после института мы обычно специалистов сразу не берем.

Третий критерий — результаты работы в течение испытательного срока, который может составлять от трех до шести месяцев.

В настоящее время налицо тенденция: к нам стали проситься специалисты в возрасте от 45 до 50 лет. Они чувствуют, что их «подпирает» молодежь, и уверенности в завтрашнем дне у них становится все меньше и меньше. Коммерческие банки стараются вытеснить их, потому что считается, что с возрастом человек начинает хуже работать, быстрее устает.

А специалисты, о которых идет речь, очень хорошие, с огромным опытом работы. Здесь они обретают чувство защищенности, в том числе и социальной, у нас есть система выслуги лет, которая позволяет увеличивать зарплату специалистов.

— Ну а самому ЦБ насколько интересно брать, не скажу, что пожилых, но зрелых людей?

— Очень интересно. Ведь информационная система, которая у нас работает, требует, прежде всего, дисциплины. Она не требует супермозгов или выдающегося креатива.

У нас очень много рутинной работы, поскольку система работает 24 часа в сутки, семь дней в неделю, и она должна без перебоев выполнять свою функциональную задачу. Поэтому от сотрудников требуются дисциплина, ответственность и четкость выполнения регламентов. Людей это устраивает, а нас устраивает, что люди знают -нельзя нажимать кнопку просто так или потому, что она очень красивая. Нельзя экспериментировать, устанавливая новые программы, которые могут «подвесить» систему.

Молодежи это сложно объяснить, она начинает это понимать только после того, как создаст внештатные ситуации. Она хочет креатива, а у нас в работе, как я уже сказал, много рутины. Но как раз на ней все и держится: не будет рутины — и система распадется.

Ведь создать ее — меньше, чем полдела, самое сложное — правильно эксплуатировать ее и не давать ей «упасть».

Случайно подобранные статьи:

Американская полиция: Михаил отвечает на вопросы, часть 1


Статьи, которые будут вам интересны: