на главную страницу Новости

Сертификация поможет участникам финансового рынка в выборе программного продукта

Журнал "Рынок ценных бумаг"
No8(263) 2004

Интервью с заместителем директора Центра банковских технологий компании "Диасофт" Александром Ляшковым

Интенсивное развитие финансового рынка стимулировало высокий спрос на программное обеспечение для автоматизации финансовых операций. Не менее высоко и соответствующее предложение с широким разбросом функциональных, технических и стоимостных характеристик. Как при таком изобилии участникам финансового рынка сделать безошибочный выбор? Насколько решение этой задачи облегчила бы процедура сертификации программного обеспечения? Каковы ее механизм и формы? На эти и другие вопросы отвечает Александр Ляшков, заместитель директора Центра банковских технологий компании "Диасофт". Беседу ведет Владимир Чванов.

В.Ч.

Уважаемый Александр Анатольевич, компания "Диасофт", которую Вы представляете, - один из крупнейших поставщиков программного обеспечения для финансового рынка. Она успешно осуществляет автоматизацию различных финансовых операций, хорошо знает текущие задачи рынка и его проблемы. Одной из самых насущных проблем считается сертификация разрабатываемого программного обеспечения. Как и всякой проблеме, ей присущи теоретический и сугубо практический аспекты. Начнем с теоретического. И в качестве первого шага к его раскрытию я предлагаю определить обсуждаемый предмет. Итак, что же такое сертификация программного обеспечения, в чем она состоит и какие цели преследует?

А.Л.

Сам термин "сертификация" означает процедуру, посредством которой третья сторона письменно удостоверяет, что продукция, процесс или услуга, производимая каким-либо поставщиком, соответствует установленным требованиям. Такое определение дается в документах Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК), в частности в Руководстве ИСО/МЭК 2 "Общие термины и определения в области стандартизации и смежных видов деятельности". Программное обеспечение - такая же продукция, как, скажем, автомобиль. Качество ПО может быть подтверждено сертификатом, как подтверждается в нашей стране государственными испытаниями качество целого ряда товаров народного потребления.

Основными целями сертификации программного обеспечения являются:

- содействие потребителям в компетентном выборе продукции;

- защита потребителя от недобросовестности изготовителя (продавца, исполнителя);

- подтверждение показателей качества продукции, заявленных изготовителем.

Если говорить о задаче автоматизации финансовой деятельности, наличие сертификата помогает банкам и компаниям не ошибиться в выборе программного продукта и его поставщика. Компании-разработчику сертификация своего ПО придаст дополнительный вес на рынке и привлечет новых клиентов.

В России существуют две разновидности процедуры сертификации. Первая - обязательная сертификация. Ее устанавливает государство как средство контроля за безопасностью какой-либо продукции. Насколько мне известно, к программному обеспечению такой вид контроля не применяется. Вторая - добровольная сертификация. Она рассматривается производителем как средство повышения конкурентоспособности своей продукции. Примером такой процедуры является Система добровольной сертификации программного обеспечения, разработанная некоммерческой организацией ПАРТАД (Профессиональной ассоциацией регистраторов, трансфер-агентов и депозитариев).

Для того чтобы заработал механизм сертификации ПО, нужно выполнить целый ряд условий. В соответствии с законом Российской Федерации "О сертификации продукции и услуг" должна быть создана и соответствующим образом зарегистрирована так называемая "система сертификации". Под этим понимается совокупность участииков сертификации и правил, установленных в этой системе. Участниками системы сертификации могут быть:

- государственные органы;

- организации - создатели системы сертификации;

- органы по сертификации;

- испытательные лаборатории;

- изготовители (продавцы, исполнители) продукции.

Правила сертификации - это набор документов (положений), в соответствии с которыми осуществляется регулирование и координация всех сторон деятельности данной системы.

В.Ч.

Назвав в качестве участника системы сертификации ПО организацию ПАРТАД, Вы перевели разговор в практическую плоскость. Но в компетенции ПАРТАД лишь ПО для регистраторов и депозитариев. Реально же существует более 10 направлений автоматизации финансовых операций. Только в банковской деятельности их не менее 7, а это значит, что участниками системы сертификации могут (или должны?) стать АРБ, НФА, НА-УФОР, ИФРУ и, быть может, даже биржи (Интернет-трейдинг). Кто из них реально готов пройти все необходимые организационные процедуры - от государственной регистрации до разработки соответствующих правил, требований и программ сертификации?

А.Л.

Действительно, существует целый ряд направлений финансовой деятельности, для которых создается специализированное программное обеспечение и где процедура его сертификации была бы крайне полезна. Однако создание такого механизма - непростая задача. Нужны активные движущие силы и достаточно весомые стимулы для практической реализации системы сертификации ПО. Из названных Вами учреждений многие занимаются лицензированием деятельности организаций - профессиональных участников финансового рынка, практически все занимаются подготовкой и аттестацией их специалистов. Но вопросами сертификации ПО пока занимаются немногие структуры.

Насколько мне известно, кроме ПАРТАД, в России систему сертификации ПО имеет S.W.I.F.T. - международная организация, которая с помощью Российской Национальной Ассоциации S.W.I.F.T. (РОС-СВИФТ) проводит тестирование и сертификацию программных продуктов, обслуживающих различные сегменты финансового рынка, по программе SWIFTReady. В выдаваемом сертификате указывается, на какие конкретно банковские операции он распространяется: платежи, форексные и иные сделки на денежном рынке, документарный бизнес, операции с ценными бумагами и др.

Другим широко известным примером является система сертификации средств криптографической защиты информации, разработанная Федеральным агентством правительственной связи и информации при Президенте РФ (ФАПСИ). Некоторые из упомянутых выше организаций (например, АРБ) создают аттестационные центры, аккредитованные в системе лицензирования и сертификации ФАПСИ, для помощи банкам и компаниям в получении соответствующего сертификата.

Я думаю, что в ближайшее время должны появиться системы сертификации ПО, работающего в области автоматизации услуг Интернет-банкинга и Интернет-трейдинга. На это, в частности, нацелена деятельность АРБ и ее Комитета по информационным и Интернет-технологиям. Уверен, что все биржи, предоставляющие доступ к своим торговым системам в технологии "шлюза" (ММВБ, РТС, ФБСПб и др.), также должны быть заинтересованы в создании официальных механизмов сертификации внешнего по отношению к ним ПО.

Компания "Диасофт" тоже не стоит в стороне от поиска решения обсуждаемой проблемы. В настоящее время мы подключаемся к проекту создания системы сертификации ПО для бэк-офисов банков и брокерских компаний, инициируемому нашим партнером - Национальной фондовой ассоциацией.

В.Ч.

Приведенные Вами примеры наглядно демонстрируют, что в решении обсуждаемой проблемы наметились серьезные сдвиги. И это радует. Но все же мы лишь в начале пути. С одной стороны, банки и финансовые компании - потенциальные потребители программного обеспечения имеют громадный разброс по главным финансовым показателям: оборотам и рейтингу надежности (от А++ до С-). С другой стороны, и предлагаемое рынком программное обеспечение имеет значительный разброс по функциональным и стоимостным характеристикам. Но мы живем сегодня. И поэтому каждая из сторон находит себе то, что ей подходит сегодня. Задача процедуры сертификации - сделать этот выбор максимально прозрачным и осветить последующие стратегические решения. В этой связи, с учетом текущей ситуации, жизнь предлагает мягкую форму сертификации, когда тот или иной институт (например, упомянутая Вами ММВБ в отношении Интернет-трейдинга) осуществляет тестирование тех или иных программ и включает их в рекомендуемый пул. Как Вы оцениваете такое решение? И как быть с перспективой?

А.Л.

Конечно, вариант мягкой формы сертификации имеет право на жизнь. Всем важен конечный результат - удовлетворение потребностей заказчиков в хорошем программном продукте. И если авторитета организации, проставляющей отметку качества программы, достаточно, чтобы рынок верил этой оценке, почему бы и не использовать такое тестирование. В случае с ММВБ, я уверен, такой вариант сомнении не вызывает.

Вариант официальной процедуры сертификации, предполагает открытость самого процесса. Требования к программному обеспечению публикуются, сам заказчик может сделать выводы, насколько близки к ним его собственные задачи. Кроме того, вес официально зарегистрированной процедуры сертификации выше, что может оказаться важным при принятии ответственных решений.

В.Ч.

Допустим, все промежуточные препятствия на пути к идеальному решению проблемы сертификации программного обеспечения устранены. Названные институты проводят функциональное тестирование, результат которого - гербовый аттестат определенной категории. Не таит ли в себе такой налаженный механизм угрозы превращения в инструмент удушающей конкурентной борьбы? Как защититься от этого?

А.Л.

Если я правильно понял Ваш вопрос, Вы имеете в виду конкурентные преимущества, которые сертификат дает производителю программного обеспечения. Но ведь и цену за это он заплатил немалую. Из нашего опыта работы с ПАРТАД, например, следует, что получить заветный документ очень непросто. В первую очередь это большая работа по доведению программы до уровня предъявляемых требований, кропотливый двухсторонний процесс подтверждения соответствия. Так что победит, действительно, сильнейший, а выиграет конечный потребитель сертифицированной продукции. Такую конкуренцию я посчитал бы полезной для всех сторон. Не будем также забывать, что сертификация своего "софта" для разработчиков - сугубо добровольная процедура. Вопрос об обязательной работе банков и компаний на сертифицированном программном обеспечении пока не стоит. Поэтому, если ты уверен, что у твоего ПО и так достаточно сильных сторон, можно не тратить усилия на приобретение нового "плюса", не заниматься получением официального подтверждения.

Если же взглянуть на проблему со стороны создателей систем сертификации, здесь также существует вероятность появления у разных организаций параллельных и конкурирующих между собой процедур, нацеленных на работу с программами одного класса. Такая конкуренция, на первый взгляд, может показаться нежелательной, поскольку для решения одинаковых задач выдвигались бы различные требования. Причем различия эти, скорее всего, были бы в деталях, не дающих принципиально новых качеств их реализующим продуктам. Способом избежать этого могут стать унификация и стандартизация требований к конечной продукции, добиться которой можно путем объединения заинтересованных структур в "клубы по интересам". Примерами таких клубов являются ассоциации профессиональных участников (НФА, ПАРТАД, НАУФОР и др.).

Также хочу высказать мнение, что любые попытки создания систем сертификации программного обеспечения заслуживают уважения. Дело это непростое, не всякая система сертификации станет реально работающей. А жизнь обязательно внесет необходимые коррективы и оставит на плаву лучшие и действительно необходимые рынку продукты.

В.Ч.

Александр Анатольевич, большое спасибо за содержательные ответы. Я думаю, что общими усилиями удалось расширить представления о необходимости и пользе для рынка процедуры сертификации программного обеспечения, и, более того, у нас появилась надежда на практические шаги ряда институтов в этом направлении.

 


e-mail
телефоны
карта сервера
поиск
проезд
ссылки
вернуться назад наверх вернуться в раздел о закрытых материалах на главную страницу