Следующим этапом при разработке системы оценки эффективности реализации проекта является разработка KPI - ключевых показателей эффективности, по каждому из ранее выделенному ключевому фактору. В связи с тем, что план выполнения работ по реализации проекта удаленной биометрической идентификации уже разработан в АО банке «ПСКБ», ключевым показателем эффективности для КФУ соблюдения сроков выполнения работ является отношение реального времени, которое потребуется на выполнение каждого этапа работ и проекта в целом, к плановому времени. Целевым значением рассматриваемого ключевого показателя эффективности является <= 100%, что говорит о том, что все работы по проекту должны быть выполнены либо в срок, либо даже быстрее установленных ранее границ. В качестве естественного отклонение в данному случае рассматривается вилка в 3%.

Если же говорить о таком ключевом фактору успеха, как соблюдение финансового плана проекта, то в качестве ключевого показателя эффективности в данном случае может выступать отношение реальных финансовых затрат проекта к ранее прописанным плановым финансовым затратам, которые относятся, как к отдельным этапам проекта, так и ко всему проекту в целом. Целевым значением по представленному показателю будет также <= 100%, согласно которому, реальные финансовые затраты не должны превышать затраты, утвержденные согласно финансовому плану. В качестве естественного отклонение в данному случае рассматривается вилка в 7%.

Для оценки такого ключевого фактора успеха, как привлечение конечных пользователей было разработано два ключевых показателя эффективности:

· отношение числа пользователей сервисом удаленной биометрической идентификации к общему числу банковских клиентов физических лиц;

· отношение числа клиентов, привлеченных за счет внедрения процесса удаленной биометрической идентификации к общему числу новых клиентов физических лиц в год.

Первый ключевой показатель эффективности показывает, на сколько физические лица - клиенты банка - вовлечены в пользование рассматриваемым процессом, а благодаря второму ключевому показателю эффективности можно будет понять, на сколько процесс удаленной биометрической идентификации интересен для пользователей и как сильно эта инновация влияет на общий приток банковских клиентов физических лиц.

Таким образом, в ходе работы над риском по ошибочной оценке эффективности реализации проекта был разработан перечень ключевых факторов успеха проекта на основании анализа окружающей среды, потребностей бизнеса, миссии и стратегии компании и общении с экспертами. Далее, методом экспертной оценки были выделены 3 ключевых фактора успеха, на которые компании стоит обратить пристальное внимание при реализации проекта по внедрению процесса удаленной биометрической идентификации и по каждому из выделенных ключевых факторов успеха были предложены показатели для оценки эффективности их достижения - ключевые показатели эффективности.

3.5 Построение TO-BE модели процесса удаленной биометрической идентификации в АО банке «ПСКБ»

Ранее в работе были выделены проблемные места процесса удаленной биометрической идентификации и предложены инициативы, направленные на снижение рисков, которые с ними связаны. С учетом предложенных инициатив процесс был модернизирован, в связи с чем появилась необходимость в построении новых TO-BE моделей процесса первичной и вторичной удаленной биометрической идентификации (рис. 10 - рис. 11)

Рис. 10 TO-BE модель процесса первичной удаленной биометрической идентификации

Рис. 11 TO-BE модель процесса вторичной удаленной биометрической идентификации

Основным нововведением в TO-BE модели первичной удаленной биометрической идентификации является в первую очередь изменение технологии шифрования с DES на AES на этапе формирования пакета с данными из ИС потребителя БДн в Единую Биометрическую Систему и далее используемой для хранения данных.

Кроме того, был добавлен подпроцесс записи контрольного биометрического шаблона в базу данных банка, с целью снижения риска использования мошенниками поддельного или украденного паспорта, согласно которому, после регистрации или обновлении БКШ в ЕБС, происходит проверка наличия записанного биометрического шаблона в банковской системе по уникальному идентификационному номеру, и в случае наличия, записанные данные в нем обновляются, в противном случае, происходит создание новой записи. (рис.12)

Рис.12 Подпроцесс регистрация БДн в БД АО банка «ПСКБ»

Также, в процесс удаленной биометрической идентификации добавлен подпроцесс установки ограничений на операции с БДн, в результате которого пользователь заполняет разработанный опросник и на основании полученной информации данные записываются в банковскую база данных. (рис. 13)

Рис. 13 Подпроцесс установка ограничений на операции с БДн

Если же говорить о процессе вторичной биометрической идентификации, то основным нововведением в TO-BE модели стало введение подпроцесса проверки ограничений на операции с БДн, которые были установлены в процессе первичной биометрической идентификации.

Рис. 14] Подпроцесс проверка ограничений на операции с БДн

Выводы по главе 3

В рамках третьей главы рассматривался каждый из ранее выделенных рисков, характерных для процесса удаленной биометрической в АО банке «ПСКБ» и были предложены мероприятия по их снижению.

Так, в рамках работы с риском ошибочной оценки эффективности реализации проекта за счет отсутствия системы оценки эффективности был выделен перечень ключевых факторов успеха, далее, каждый из них был проранжирован по степени важности для компании на основании экспертной оценки и были выделены три наиболее приоритетные: Соблюдение сроков выполнения работ, соблюдение финансового плана и привлечение конечных пользователей. Далее, по каждому из выделенных ключевых показателей эффективности были выделены ключевые показатели эффективности: отношение реального времени, которое потребуется на выполнение каждого этапа работ и проекта в целом, к плановому времени; отношение реальных финансовых затрат проекта к ранее прописанным плановым финансовым затратам, которые относятся, как к отдельным этапам проекта, так и ко всему проекту в целом; отношение числа пользователей сервисом удаленной биометрической идентификации к общему числу банковских клиентов физических лиц; отношение числа клиентов, привлеченных за счет внедрения процесса удаленной биометрической идентификации к общему числу новых клиентов физических лиц в год.

Если же говорить о риске увеличения объемов потерь из - за отсутствия возможности ограничения использования биометрических данных пользователя, то для снижение этого риска был разработан опросник, покрывающий все необходимые для клиента варианты ограничений. На основании полученных данных, данные об установленных ограничениях будут записываться в базу данных банка, что позволит снизить размер максимальных потерь на 80%.

Также, был рассмотрен риск нарушения конфиденциальности хранения биометрических данных и для его снижения был предложен переход с алгоритма шифрования AES на более новый и усовершенствованный алгоритм DES, который обладает большим размером ключа и новыми алгоритмами шифрования, что снижает вероятность несанкционированного доступа к данным с 6% до 0,05%.

Помимо всего выше перечисленного, была проведена работа с риском использования поддельного или украденного паспорта со стороны мошенников и для снижения этого риска было предложено хранение биометрических данных клиентов на сервере банка, так как это поможет снизить время обработки заявка по подозрительной транзакции от 5 до 1 рабочего дня за счет снижения числа посредников, задействованных в реализации процесса и уменьшения числа передач данных.

В результате, были построены целевые модели процессов первичной и вторичной удаленной биометрической идентификации с учетом предложенных инициатив.

Заключение

На данный момент технология удаленной биометрической идентификации стремительно набирает популярность, но в связи с отсутствием целевой модели реализации процесса, основанного на этой технологии, возникает большое число рисков, при наступлении которых, благополучие компании может оказаться под угрозой. Однако прогнозирование угроз и планирование превентивных мероприятий позволят организации понести минимальный ущерб в результате наступления рисковых событий.

В первой главе выше представленной работы были разобраны технологии удаленной идентификации и было определено, что не смотря на то, что по отдельности распознавание лица и голоса являются не самыми точными технологиями в плане определения личности, вместе они показывают результаты с точностью до 99%. Помимо этого, использование этих технологий является наиболее экономичным по сравнению с остальными вариантами. Также, был проведен анализ реализованных проектов по внедрению процесса удаленной биометрической идентификации и на основании полученной информации был разработан перечень потенциальных рисков рассматриваемого процесса.

Во второй главе работы были построены модели процессов первичной и вторичной удаленной идентификации и при наложении ранее выделенных рисков на построенные модели, был определен перечень рисков, характерных для процесса удаленной биометрической идентификации в АО банке «ПСКБ»:

· риск использования мошенниками поддельного паспорта;

· риск нарушения конфиденциальности хранения биометрических данных клиентов;

· риск увеличения объема потерь за счет отсутствия возможности ограничения использования биометрических данных;

· риск ошибочной оценки эффективности реализации проекта за счет отсутствия системы оценки эффективности.

В заключительной главе представленной работы были предложены мероприятия по снижению выделенных рисков. Так, для снижения риска использования мошенниками поддельного паспорта было предложено хранение биометрических данных клиента в базе данных АО банка «ПСКБ», что позволит сократить время рассмотрения заявки при проведении подозрительной транзакции с 5 рабочих дней до 1 рабочего дня за счет отказа от дополнительных передач данных и посредников. В целях снижения риска нарушения конфиденциальности хранения биометрических данных клиентов был предложен переход с устаревшего алгоритма шифрования AES, на обновленный алгоритм DES. Благодаря большему размеру первичного ключа, использование нового алгоритма позволит сократить вероятность нелегального доступа к персональным данным пользователя с 6% до 0,05%. С целью снижения риска увеличения объема потерь за счет отсутствия возможности ограничения использования биометрических данных был разработан опросник, покрывающие основные потребности клиентов в установке ограничений, благодаря которому максимальный размер потерь может быть снижен на 80%, до размера максимальной застрахованной суммы - 200 000 рублей. Кроме всего прочего, в рамках работы с риском ошибочной оценки эффективности реализации проекта за счет отсутствия системы оценки эффективности были выделены три основных ключевых фактора успеха проекта: Соблюдение сроков выполнения работ, соблюдение финансового плана и привлечение конечных пользователей и по каждому из них разработаны ключевые показатели эффективности для более точной оценки результатов работы. В результате, были построены целевые модели процессов первично и вторичной удаленной биометрической идентификации с учетом предложенных инициатив.

Таким образом, в данной выпускной квалификационной работе была достигнута поставленная цель путем формирования перечня рисков, характерных для процесса удаленной биометрической идентификации в АО банке «ПСКБ» и разработки мероприятия, направленных на их снижение. Кроме того, были построены целевые модели процесса первичной и вторичной удаленной биометрической идентификации, что значительно облегчит дальнейшую работу компании.

Список литературы

1. AES Class // Microsoft.net [Электронный ресурс] URL: https://docs.microsoft.com/ru-ru/dotnet/api/system.security.cryptography.aescng?view=netframework-4.8 (дата обращения: 15.05.2019).

2. F&S Survey. Mobile banking in Europe. 2017.

3. Автоматизация обработки документов на получение банковских и страховых продуктов // bankir.ru URL: http://bankir.ru/publikacii/20180326/avtomatizatsiya-obrabotki- dokumentov-na-poluchenie-bankovskikh-i-strakhovykh-produktov-10009471/ (дата обращения: 22.05.2018).

4. В российских банках заработала Единая биометрическая система, но эксперты не уверены в ее надежности [Электронный ресурс] // news.ru URL: https://hitech.newsru.com/article/02jul2018/ebs_banki (дата обращения: 12.10.2018).

5. Единая биометрическая система (ЕБС) [Электронный ресурс] // TAdviser URL: www.tadviser.ru/index.php/Продукт:Единая_биометрическая_система (дата обращения: 03.11.2018).

6. Единая биометрическая система. Методические рекомендации по работе с Единой биометрической системой // 2018.

7. Использование ЕСИА кредитными организациями [Электронный ресурс] // URL: http://esia.pro/esia_dlya_bankov (дата обращения: 14.01.2019).

8. Какой метод оценки проекта лучше - гибкий или обычный? // IBM ) [Электронный ресурс] URL: https://www.ibm.com/developerworks/ru/library/d-estimation-agile-or-conventional-trs/index.html (дата обращения: 17.04.2019).

9. Корпоративное управление [Электронный ресурс] // Pscb.ru. 2017. URL: https://www.pscb.ru/about/corp-management/ (Дата обращения: 16.06.2018).

10. Насколько безопасна удаленная идентификация? // Bankir.ru [Электронный ресурс] URL: https://bankir.ru/publikacii/20170714/naskolko-bezopasna-udalennaya-identifikatsiya-10009041/ (дата обращения: 11.10.2018).

11. Обмани меня: как хакеры обходят системы биометрической защиты // FORBES [Электронный ресурс] URL: https://www.forbes.ru/tehnologii/367261-obmani-menya-kak-hakery-obhodyat-sistemy-biometricheskoy-zashchity (дата обращения: 12.10.2018).

12. Парольная защита: прошлое, настоящее, будущее // SecurityLab [Электронный ресурс] URL: https://www.securitylab.ru/contest/276876.php (дата обращения: 16.05.2019).

13. Петербургский Социальный Коммерческий Банк [Электронный ресурс] // банки.ру. 2014. Режим доступа: http://www.banki.ru/banks/bank/pscb/ (Дата доступа: 16. 11. 2018).

14. Петербургский социальный коммерческий банк - информация о банке, рейтинги надежности, кредитный рейтинг, финансовые показатели, отчетность, реквизиты, официальный сайт, телефон, интернет банк - BankoDrom.ru [Электронный доступ] // Bankodrom.ru. 2017. URL: http://www.bankodrom.ru/bank/peterburgskij-socialnyj-kommercheskij-bank/ (Дата обращения: 13.10.2018).

15. Плюсы и минусы биометрической идентификации // Национальный банковский журнал [Электронный ресурс] URL: http://nbj.ru/publs/upgrade-modernizatsija-i-razvitie/2018/10/09/pljusy-i-minusy-biometricheskoi-identifikatsii/index.html (дата обращения: 18.03.2019).

16. Рейтинги банков // banki.ru [Электронный ресурс] URL: https://www.banki.ru/banks/ratings/ (дата обращения: 02.10.2018).

17. Современные методы биометрической идентификации // Azone IT [Электронный ресурс] URL: http://www.azone-it.ru/sovremennye-metody-biometricheskoy-identifikacii (дата обращения: 16.05.2019).

18. Современные биометрические методы идентификации // habr [Электронный ресурс] URL: https://habr.com/ru/post/126144/ (дата обращения: 16.05.2019).

19. Удаленная идентификация [Электронный ресурс] // URL: https://www.cbr.ru/fintech/remote_authentication/ (дата обращения: 12.01.2019).

20. Федеральныи? закон «О банках и банковскои? деятельности» от 02.12.1990 No 395-1 //.

21. Федеральным законом «О внесении изменений в отдельные законодательные акты Российской Федерации» от 31.12.2017 № 482-ФЗ // Собрание законодательства Российской Федерации

22. ЦБ пропишет порядок действий на случай компрометации биометрических данных // GAAP.RU [Электронный ресурс] URL: https://gaap.ru/news/157180/ (дата обращения: 21.04.2019).

23. Чего ждать банкам от удаленной идентификации // Future Banking URL: http://futurebanking.ru/post/3436 (дата обращения: 17.04.2019).

24. Эксперт назвал плюсы и минусы введения биометрической идентификации // Рамблер. Финансы [Электронный ресурс] URL: https://finance.rambler.ru/money/40233862-ekspert-nazval-plyusy-i-minusy-vvedeniya-biometricheskoy-identifikatsii-v-bankah/?updated (дата обращения: 24.10.2018)

Размещено на Allbest.ru