Оценка качества данных информационных систем банка: практический эффект
Securitymedia.org
Оценка качества данных информационных систем банка: практический эффект
26.03.2024
Юлия Шорошева
Младший консультант по
ИБ RTM Group
Оценка качества данных в информационных системах (далее – ИС) позволяет выявить системные недостатки и ошибки, которые служат фундаментом для разработки мероприятий по повышению эффективности функционирования процессов. Тот факт, что регулятор разработал и предлагает четкие требования к тому, как это должно делаться, свидетельствует о значимости данной темы. Однако, при оценке качества данных можно столкнуться со сложностями, которые специалистам не всегда удается корректно решить. В этой статье Юлия Шорошева, младший консультант по ИБ RTM Group, рассмотрит концепцию качества данных и поговорит о том, как избежать проблем при выполнении требований регулятора.
Качество данных: общая концепция оценки в информационных системах банка
Для того, чтобы понять, насколько качество данных в организации соответствует желаемому уровню, необходимо оценить его. Это позволит выявить отсутствие, несоответствие, неоднородность или неполноту сведений. Впоследствии полученная информация поможет разработать и применить стратегии и методы для улучшения данных.
В соответствии с требованиями главы 8 Положения №716-П, банковские кредитные организации должны проводить работы по оценке обеспечения и оценке качества данных в ИС. Также им необходимо определить ответственного за оценку данных сотрудника, и установить, как и как часто (не реже одного раза в год) проводить независимую проверку качества данных.
Оценка качества данных регламентируется несколькими документами, представленными на рисунке ниже.
Рисунок 1 - Нормативные документы, регламентирующие оценку качества данных
Банковским организациям рекомендуется создать комиссию по оценке качества данных для проведения периодичного контроля, состоящую из службы внутреннего аудита, ответственных за информационную безопасность, за информационные технологии, а также за управление рисками.
Концепция оценки качества данных должна присутствовать в каждом бизнес-подразделении, сотрудники которых будут осуществлять все необходимые манипуляции для того, чтобы понять, что представленные сведения соответствуют заявленным требованиям по качеству (рисунок 2).
Рисунок 2 – Основы концепции оценки качества данных в ИС банка
Если спецификация ИС или требований к данным изменяются, необходимо повторно оценить качество, чтобы убедиться в достоверности заявленных результатов.
Как оценить качество данных в информационных системах?
Для начала должна быть выстроена методика оценки. Чтобы чем-либо управлять и что-либо оценивать, надо идентифицировать объект управления и определить критерии оценки, что позволит делать качественные выводы.
Объект состоит из четырех компонентов:
- критически важные процессы;
- информационные системы;
- данные в ИС;
- качество данных в ИС.
Положение №716-П определяет 7 базовых характеристик качества данных:
Точность и достоверность, т.е. данные не содержат ошибок в структуре и значении. Например, чтобы такая информация, как дата рождения клиента банка, была признана корректной, она должна быть записана в формате «дд.мм.гггг», где «дд» должно быть числом от 1 до 31, «мм» должно быть числом от 1 до 12, а «гггг» должно быть числом в диапазоне от «1900» до текущего года. Если значение даты рождения искажено и записано в виде «39.14.1879», «3/10/2030» или «16.09.1», то эта информация будет исключена из массива данных по запросу.
Полнота означает, что весь набор данных представлен полностью и без каких-либо пропусков. В качестве примера можно рассмотреть выгрузку карточки клиента из базы данных банка (рисунок 3).
Рисунок 3 - Выгрузка карточки клиента из базы данных банка
В данном конкретном случае видно, что не у всех индивидуальных предпринимателей есть данные о «СНИЛС», следовательно, сведения не могут считаться полными.
Актуальность означает, что ситуация отображается в определенный момент времени. Чтобы рассчитать ее, необходимо выбрать набор данных за период от 1 до 7 дней. Затем следует оценить получившую информацию и проверить на соответствие с помощью формулы:
.
Согласованность означает, что информация синхронизирована между различными системами и источниками данных. Рассмотрим пример с зонами безопасности для архитектуры A1: интерфейсы в среде пользователя (рисунок 4).
Рисунок 4 - Пример зон безопасности для архитектуры A1: интерфейсы в среде пользователя (локальной или облачной)
Информация в примере соответствует разным уровням архитектуры и самой среде пользователя, будь то локальной или облачной. Поэтому данные всегда будут корректными и будут соответствовать установленным правилам, что поможет избежать ошибок или неправильных результатов.
Доступность относится к данным, которые могут быть применены для улучшения рабочих процессов. Если, допустим, произойдет сбой в ИС, это непременно повлияет на работу банка и приведет к негативным последствиям.
В качестве оценки данной характеристики можно учитывать такие факторы, как время доступности и время простоя ИС. Каждому аналитику нужно дать доступ к материалам и инструментам для анализа и использования информации.
Допустимая доля деградации качественности данных определяется как:
,
Если время простоя данных в ИС превышает 98% от общего времени их функционирования, то это считается неприемлемым.
Контролируемость означает, что мы можем следить за информацией и проверять ее, а также устанавливать правила, и тогда можно быть уверенным быть уверенными в ее точности и целостности.
Оценка характеристики основана на наличии функционала отражения в ИС, изображенном на рисунке 3.
Рисунок 5 - Оценка характеристики на наличии функционала отражения в ИС
Восстанавливаемость — это возможность поддержания прежнего уровня функциональности и качества данных после их потери, повреждения или изменения в результате сбоев или других неполадок в работе ИС.
Общий показатель восстанавливаемости данных можно определить по формуле:
,
Сколько времени займет восстановление данных, насколько вероятно будет совершить его полностью, насколько полными будут восстановленые данные — все это определяется процессом восстановления данных.
Например, если сервер в банке «сгорит» и данные клиентов пропадут, это будет критично для банка. Такая ситуация может привести к серьезным последствиям, включая потерю доверия заказчиков, финансовые убытки и возможные правовые проблемы. Поэтому банкам необходимо обеспечить надежность и безопасность своих серверов, чтобы минимизировать риски таких сбоев и всегда иметь возможность восстановить ценную информацию о клиентах.
Практическое применение оценки качества данных в информационных системах банка
Банк должен в соответствии с требованиями Положения №716-П установить показатели качества данных и их целевые значения (сигнальное и контрольное) с целью контроля за соблюдением критериев оценки качества.
Можно сказать, что проведение независимой оценки качества данных в системе банка можно представить в виде карты, которая показывает, насколько оперативно реализуется процесс. Это представлено в таблице 1.
Таблица 1 - Карта оперативной оценки качества данных в ИС банка
|
№ |
Критерий качества данных |
ИС |
Количество ИС |
Значения |
Вывод |
|
1 |
Полнота и достаточность |
БД АБС |
1 |
99,74% |
доля учтенных в ИС данных составляет не менее 99,74%, а доля незаполненных или дублирующих атрибутов не превышает 1% |
|
2 |
Согласованность и взаимная непротиворечивость |
99,40% |
доля ошибок менее 1% | ||
|
3 |
Доступность |
99,70% |
данные в ИС доступны более 99% от запланированного времени функционирования процесса, связанного с этой ИС | ||
|
4 |
Точность и достоверность |
91,26% |
соответствует эталонным значениям и составляет не менее 91%, а доля некорректных записей не превышает 8% | ||
|
5 |
Актуальность |
99,94% |
имеет качественное состояние данных, поскольку коэффициент готовности данных составляет не менее 99%, а доля неактуальных данных не превышает 1% | ||
|
6 |
Контролируемость |
100% |
оперативный доступ к представленной информации возможен | ||
|
7 |
Восстанавливаемость |
100% |
приемлемый уровень потери данных в случае прерывания операций |
Проведя анализ всех критериев качества данных, можно делать выводы. О том, например, что оценка качества данных в ИС базы данных АБС соответствует/не соответствует требованиям, установленным в документе Положения №716-П.
Рекомендации от эксперта: чек-лист по определению оценки качества данных информационных систем банка
- регулярно анализировать бизнес-процессы банка и выделять перечень используемых ИС;
- строить схемы передачи данных между ИС;
- обеспечивать оперативный контроль качества данных в ИС банка;
- производить периодический контроль качества данных в ИС банка;
- силами сотрудников банка, ответственных за работу по заполнению данных в ИС, проводить работы по повышению актуальности, полноты, доступности, точности и достоверности данных в ИС банка;
- актуализировать целевые значения данных ИС банка;
- устанавливать показатели качества данных и их целевые значения (сигнальное и контрольное);
- выполнять требования 716-П по обеспечению качества данных в ИС в разрезе характеристик качества данных в рамках обеспечения функционирования процессов.
Оценка качества данных и поддержание его на должном уровне - процесс непростой, но вполне реализуемый. Он позволяет определить критерии качества, а также регулярно осуществлять их оценку и мониторинг, работать над постоянным улучшением. Процесс этот требует непрерывного внимания и усилий, но, если им не заниматься, это может иметь серьезные негативные последствия для банка, включая принятие неправильных решений, потерю доверия клиентов, нарушение законодательства, потерю конкурентоспособности и упущение возможностей для развития.
Популярные публикации
Хотите быть в курсе последних новостей?
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.
Зарегистрироваться