Экономические науки/1. Банки и банковская система
Буренко В.О.
Кременчуцький державний
політехнічний університет ім. Остроградського
Проблеми розвитку інформаційної інфраструктури та легалізація
програмного забезпечення в банках України
Зрозуміло, що кожна установа має чи
повинна мати певні політики і концепції розвитку та супроводження інформаційної
інфраструктури, зокрема політики інформаційної безпеки. Зважаючи на обмеженість
обсягу повідомлень, пропоновані тези містять стисле подання принципових міркувань
та висновків щодо політики розвитку інформаційної інфраструктури комерційного
банку лише з одного, але важливого питання: легалізації програмного
забезпечення робочих станцій.
Згідно визначення Закону України «Про
авторське право і суміжні права», комп'ютерна програма — набір інструкцій ...,
виражених у формі, придатній для зчитування комп'ютером, які приводять його у
дію для досягнення певної мети або результату. Комп’ютерні програми є
результатом творчої діяльності їх розробників, об’єктом авторського права (ст.
18 вказаного Закону) і самі по собі (за екзотичними виключеннями, наприклад,
при інвестуванні в їх створення) не є об’єктами, що цікавлять банк самі по
собі. Для забезпечення статутних задач банк потребує комплексних програмних
продуктів, що створюються з використанням комп’ютерних програм і є власне
об’єктами ринкової економіки. При оцінці програмного продукту крім властивостей
самих програм суттєвими є його ціна, технічна і ринкова політики
компанії-постачальника, її авторитет, можливість придбання необхідної
конфігурації, якість і доступність документації та підтримки, можливості та
вартість оновлення, наявність необхідних сертифікатів, наявність спеціалістів
та можливості їх навчання, якість оформлення прав та зобов’язань постачальника та
отримувача, тощо. При виконанні техніко-маркетингових досліджень слід
враховувати, що створені з використанням непоганих комп’ютерних програм
програмні продукти можуть виявитися непридатними для застосування в конкретному
банку.
Останнім часом на Україні набула сили
компанія з так званого ліцензування ПЗ. Під ліцензією зазвичай розуміється
спрощена угода про передачу певного обсягу прав стосовно ПЗ від розробника до
отримувача. У зв’язку з цим необхідно відзначити, що у світі поширено декілька
видів ліцензій. Крайнім випадком є відкрита ліцензія, згідно якої постачальник
залишає за собою усі виключні авторські права, і передає отримувачу невиключні,
зокрема можливість відтворювати, вивчати та змінювати програму. Іншим крайніми
випадком є закрита комерційна (пропієтарна) ліцензія, згідно якої постачальник
залишає за собою усі можливі права, і передає отримувачу лише право використати
програму на певній кількості комп’ютерів, без жодних гарантій та компенсацій. Є
декілька проміжних видів ліцензій, що передбачають часткову передачу прав,
наприклад, тільки на використання, без права продажу, тиражування та вивчення.
Зазвичай відкриті ліцензії дешеві або безкоштовні. Переважна більшість так
званих ліцензійних угод, пропонованих постачальниками, не відповідають чинному
вітчизняному законодавству або не є укладеними, оскільки важко визнати
укладеною угоду, учасники якої ні про що не домовлялися. В той же час,
більшість постачальників якісних програмних продуктів (особливо у фінансовій
галузі) не переймаються цією проблемою, оскільки їх продукти передбачають
постачання та обслуговування програм (налаштування, оновлення, навчання), і
угода про таке супроводження захищає інтереси і постачальника, і споживача без
усіляких ліцензій. Перевагою відкритих ліцензій для банківської галузі є
можливість доопрацювати програми згідно своїх вимог та (хоча б потенційно)
дослідити їх на відсутність небажаних побічних властивостей, зокрема таких, що
сприяють неконтрольованому витоку інформації. Пропієтарне ПЗ з закритими
ліцензіями прийнятне лише за умови певних гарантій безпечності його
використання, які зазвичай не можуть бути отримані.
Висновки з розгляду практики ліцензування
ПЗ, з урахуванням специфіки банківської галузі, наступні. Незалежно від виду і
наявності вимог щодо ліцензування, в банку бажано використовувати програми, що
придбані за угодами, що передбачають певне обслуговування, навчання, оновлення,
гарантії. Для програм, що використовуються при створенні та обробці платіжних
документів, необхідно вибирати ті, що надаються з гарантіями щодо стабільності
роботи та відсутності неконтрольованих властивостей, або ті, що надаються за
вільними ліцензіями і хоча б потенційно дозволяють дослідити свої можливості.
Прикладні програми цього напрямку необхідно використовувати лише від
постачальників, що мають певний авторитет в галузі, надають певні гарантії щодо
стабільності роботи та відсутності неконтрольованих властивостей, і, бажано,
плідно співпрацюють з банком певний період. Для програм, що припускають тривале
використання без обслуговування та оновлення (переважно операційні системи та
утиліти робочих станцій, офісні та інші універсальні програми, що не орієнтовані
на банківську галузь), бажано вибирати ті, що надаються за вільними ліцензіями.
Для програм, які очікується змінювати для потреб банку, необхідно вибирати ті,
що надаються за вільними ліцензіями, що дозволяють отримання та зміну коду. Так
званий процес переходу на ліцензійне ПЗ повинен поступово імплементувати
означені вище напрямки розвитку і ні в якому разі не спричиняти нищівних для
технологічних процесів або фінансового стану рішень.
Окремим компонентом інформаційної
інфраструктури банку є його персонал, зокрема його знання щодо програмного
забезпечення, його налаштування та використання. Найкращі результати банк
отримає використовуючи висококваліфікованих спеціалістів, зокрема таких, що час
від часу підвищують кваліфікацію на відповідних курсах. Деякі види програмного
забезпечення, що працюють на найвідповідальніших ділянках (серверна операційна
система, СУБД, керування мережею, керування коррахунками), мають високий рівень
захисту та безпеки, можуть обслуговуватися тільки такими висококваліфікованими
спеціалістами, бажано маючими відповідні сертифікати. Зазвичай курси коштують
досить дорого ($800–2400), але вартість таких курсів значно менша від вартості
самого ПЗ такого класу, а без них воно буде використовуватися не повно і не
безпечно. Отже, з огляду на інформаційну безпеку та безпеку інвестування в ПЗ,
необхідно направляти хоча б по одному спеціалісту на курси названих вище
напрямків. Для захисту інвестицій в навчання можливе укладання зі
спеціалістами, що направляються на курси за кошти банку, спеціальних угод, що
передбачають, наприклад, відшкодування банку половини вартості курсів у
випадку, коли після їх закінчення спеціаліст припинить співробітництво з банком
через невеликий проміжок часу (наприклад, менше ніж через рік). Юридично це
можна оформити, наприклад, як навчання за свій рахунок з використанням
безпроцентного кредиту, який погашається банком протягом року, а у випадку
звільнення — залишок погашається співробітником самостійно.
Серед постачальників програмних продуктів
окреме місце посідає корпорація Microsoft, серверні та офісні продукти якої
посідають значне місце на ринку. Доля цих продуктів справедливо призвела до
признання корпорації монополістом в усьому світі. Нами було виконано спеціальне
дослідження її продуктів, що пропонуватиметься для ознайомлення учасникам
конференції. Воно дозволяє зробити наступні висновки, що повинні враховуватись
у будь-яких рішеннях щодо розвитку інформаційної інфраструктури банку:
- придбання та використання програмних продуктів
корпорації Microsoft у банку спричиняє великі технологічні та інвестиційні
ризики;
- придбання та використання програмних продуктів
корпорації Microsoft доцільно, як виключення, тільки у випадках, коли інше
рішення конкретного питання технічно неможливе або недоступне;
з міркувань інформаційної та економічної безпеки
придбання та використання програмних продуктів корпорації Microsoft на
найкритичніших ланках інформаційної інфраструктури банку: для створення
електронних платіжних документів, серверах керування мережею, серверах зв’язку
з зовнішнім світом, серверах баз даних та застосувань, на яких створюються та
обробляються платіжні документи, на файлових серверах, в банкоматах —
неприпустиме категорично;
- з міркувань інформаційної та економічної безпеки
сервери та робочі станції, де встановлено програмне забезпечення корпорації
Microsoft, повинні відокремлюватися від частини мережі, де створюються та
обробляються платіжні документи, фізично або за допомогою маршрутизаторів та
міжмережевих екранів з суворими правилами фільтрації даних.