Содержание к диссертации
Введение
1. Анализ рисков эмитента в ПСБК 7
1.1. Платёжные системы на основе банковских карт 7
1.2. Платёжные карты в мире 17
1.3. Банковские карты в России 19
1.4. Проблема обеспечения безопасности ПСБК 21
1.5. Мошенничество с банковскими картами 26
1.6. Постановка задачи мониторинга транзакций 37
1.7. Выводы по главе 1 38
2. Задачи мониторинга транзакций в ПСБК 40
2.1. Мониторинг транзакций 40
2.2. Классификация СМТ 42
2.3. Данные в транзакции 44
2.4. Обязательные критерии мониторинга со стороны МПС 46
2.5. Санкции МПС за несоответствие требованиям по противодействию мошенничеству.53
2.6. Проблема принятия решений 56
2.7. Особенности мониторинга некоторых операций 60
2.8. Основные коммерческие СМТ 62
2.9. Инициативы MasterCard в области мониторинга 65
2.10. Выводы по главе 2 69
3. Формализация задачи количественной оценки риска 71
3.1. Методы оценки рисков 71
3.2. Существующие подходы к оценке риска 72
3.3. Оценка рисков в ПСБК 77
3.4. ERD-диаграмма БД мошеннических операций 87
3.5. Выводы по главе 3 92
4. Методика количественной оценки рисков эмитента в ПСБК 93
4.1. Расчёт интервальных показателей по мошенничеству 93
4.2. Исходные предположения 95
4.3. Расчёт вероятностей 96
4.4. Расчёт рисков 100
4.5. Методика оценки риска по эмиссии 102
4.6. Выводы по главе 4 106
5. Разработка и эксплуатация СМТ 107
5.1. Технические требования к СМТ FraMoS 107
5.2. Общее описание системы 108
5.3. Серверная часть ПО
5.4. Клиентская часть 114
5.5. Эксплуатация FraMoS 118
5.6. Примеры мониторинга операций 119
5.7. Выводы по главе 5 124
Заключение 125
Список использованных источников 127
Приложение
- Проблема обеспечения безопасности ПСБК
- Обязательные критерии мониторинга со стороны МПС
- ERD-диаграмма БД мошеннических операций
- Методика оценки риска по эмиссии
Введение к работе
Актуальность темы. В последние годы во всем мире активно развиваются платёжные системы на основе банковских карт (БК). Удобство совершения платежей с использованием БК и экономия при переходе от наличных денег к безналичным, возможность предоставлять держателям БК дополнительные сервисы – все это и многое другое обусловили стремительное развитие данного рынка. На 1 апреля 2009 года в РФ количество эмитированных БК по данным ЦБ составило 121,757 млн., что на 2,3% больше, чем в начале года, и почти в 8 раз больше, чем в начале 2003 года. Число платёжных карт в мире, выпущенных крупнейшими Международными платёжными системами (МПС), с 2005 по 2008 гг. возросло на 25% и превысило 3 млрд.
Как инструмент доступа к счёту клиента в банке-эмитенте БК может быть скомпрометирована и использована злоумышленником для несанкционированного доступа к этому счёту, т.е. проведения мошеннической операции. Общие мировые потери от мошенничества в 2007 году в МПС Visa International и MasterCard Worldwide составили более 5,58 млрд. долл. США. В РФ официально не публикуется общедоступная статистика по мошенничеству с БК в различных платёжных системах, а также статистика правоохранительных органов по соответствующим противоправным деяниям. Потери от мошенничества в российском сегменте названных МПС, вычисляемые на основе предоставляемых банками-участниками данных по определённым типам мошеннических операций, за 2007 г. превысил 9 млн. долл. США. Следует отметить, что прирост объёма мошеннических операций по указанным МПС за 2007 г. составил 66%, в то время как общий рост объёма операций по БК в РФ – всего 45,7%.
Мошенничество по БК клиентов приводит к рискам банка-эмитента, связанным с финансовыми потерями и ухудшением репутации. Поэтому банк-эмитент в своей платёжной системе банковских карт (ПСБК) должен выработать и применять специальную политику информационной безопасности, реализовать мероприятия по управлению рисками, внедрять методы и средства выявления мошенничества и противодействия ему.
В соответствии с законодательной и нормативной базой РФ устанавливаются определения и требования к рискам в области информационной безопасности. Отечественные стандарты и нормативные документы ЦБ выдвигают общие требования к менеджменту рисков. Однако эти документы не дают метрики оценки рисков, что является серьезной проблемой при применении требований на практике. Следует отметить, что в настоящее время Стандарт Банка России СТО БР ИББС-1.2-2007 определяет только качественную оценку риска. При отсутствии обязательных требований к метрикам рисков банкам предлагается осуществлять их выбор самостоятельно.
Обозначенные проблемы отмечаются также Советом Безопасности РФ в основных направлениях научных исследований в области обеспечения информационной безопасности, к которым относятся:
проблемы выявления и пресечения преступлений, совершённых с использованием информационно-телекоммуникационных систем;
исследование проблем обеспечения информационной безопасности платёжных систем на базе интеллектуальных карт.
Одним из средств защиты ПСБК от мошенничества для банка-эмитента является система мониторинга транзакций (СМТ) по банковским картам. Под транзакцией понимается единичный факт использования БК для приобретения товаров или услуг, получения наличных денежных средств или информации по счету, следствием которого является дебетование или кредитование счета клиента. СМТ предназначена для выявления мошеннических транзакций и реагирования на них в ПСБК банка-эмитента с целью уменьшения рисков. В настоящее время отсутствуют общепринятая количественная методика оценки рисков банка-эмитента, связанных с мошенничеством, в ПСБК, и классификация СМТ, необходимая для их сравнения и обоснованного выбора банком-эмитентом.
Целью диссертационной работы является защита ПСБК банка-эмитента от мошенничества с использованием СМТ на основе разработанной методики количественной оценки рисков.
Для достижения поставленной цели в диссертационной работе решаются следующие задачи:
исследование проблем информационной безопасности в ПСБК при проведении транзакций с использованием БК;
формализация для банка-эмитента задачи обеспечения безопасности операций с использованием БК;
разработка методики количественной оценки рисков в ПСБК банка-эмитента, связанных с мошенничеством;
разработка, внедрение и эксплуатация СМТ в ПСБК банка-эмитента для выявления мошенничества и оперативного реагирования с целью уменьшения рисков.
Основными методами исследований, используемыми в работе, являются методы теории вероятности и математической статистики, теории множеств, объектно-ориентированного анализа. Разработка СМТ осуществлена на основе методов объектно-ориентированных проектирования и программирования.
Научная новизна работы заключается в следующем:
показано, что мошенничество с БК относится к операционному риску, величина которого может быть оценена количественно на основе истории операций по карте;
предложена ERD-диаграмма базы данных (БД) для регистрации всех мошеннических операций в ПСБК банка-эмитента;
разработана методика количественной оценки рисков по категориям мошенничества на основе созданной БД мошеннических операций в ПСБК банка-эмитента.
Практическую ценность представляют разработанная, внедренная и эксплуатируемая СМТ в ПСБК банка-эмитента на основе созданной методики количественной оценки рисков, и предложенная классификация СМТ в ПСБК по ряду критериев.
На защиту выносятся следующие основные результаты работы:
-
Автором разработана классификация СМТ в ПСБК.
-
Разработанная автором методика количественной оценки рисков банка-эмитента в ПСБК позволяет принимать обоснованные решения для противодействия мошенничеству с БК.
-
Автором разработана и внедрена СМТ для выявления и противодействия мошенничеству в ПСБК, служащая для уменьшения рисков банка-эмитента, оцениваемых количественно на основе созданной методики.
-
Автором разработан учебный курс по данной тематике, позволивший внедрить в учебный процесс освещение подходов к противодействию мошенничеству с БК.
Достоверность полученных результатов основывается на формальных выводах и заключениях, практике эксплуатации разработанной СМТ в ПСБК банка Газпромбанк (Открытое Акционерное Общество).
Использование результатов исследования. Основные результаты исследования применены в разработанной и внедрённой автором СМТ, используемой в Процессинговом Центре ООО “Газкардсервис” ПСБК банка Газпромбанк (Открытое Акционерное Общество). Результаты диссертационной работы внедрены в учебный процесс на факультете "Информационная безопасность" Московского инженерно-физического института (государственного университета), в Институте Банковского Дела Ассоциации Российских Банков. Результаты работы представляют практическую ценность для обеспечения безопасности ПСБК для банков-эмитентов.
Публикации и апробация работы. По теме диссертации опубликовано 13 печатных работ, в том числе 5 научных статей (из них 3 статьи в журналах из Перечня ВАК), 7 тезисов докладов на конференциях и 1 глава в коллективной монографии. Результаты работы докладывались на Межвузовской конференции «Инновационное предпринимательство и управление знаниями» (Москва, 2006 г.), Всероссийской научно-практической конференции «Проблемы защиты информации в системе высшей школы» (Москва, 2007 – 2008 гг.), научно-практической конференции «Информационная безопасность – Юг России» (Таганрог, 2007 г.), Международной научной конференции «Цивилизация знаний: инновационный переход к обществу высоких технологий» (Москва, 2008 г.), практической конференции «Безопасность пластиковых карт. Обнаружение и предотвращение мошенничества» (Москва, 2008 г.).
Структура и объём работы. Работа состоит из введения, пяти глав, заключения, списка литературы, включающего 206 наименований и 3 приложения. Текст диссертации изложен на 141 странице, включая 25 рисунков и 12 таблиц.
Проблема обеспечения безопасности ПСБК
Положение Банка России №266-П определяет, что эмиссия банковских карт, эквайринг платёжных карт, а также распространение платёжных карт осуществляются кредитными организациями на основании внутрибанковских правил, разработанных кредитной организацией в соответствии с законодательством РФ, нормативными актами Банка России, и правилами участников расчётов, содержащими их права, обязанности и порядок проведения расчётов между ними. Как было отмечено ранее, внутрибанковские правила, помимо прочего, должны содержать систему управления рисками при осуществлении операций с использованием платёжных карт [2].
По определению банковская карта является инструментом для совершения безналичных операций со счётом клиента в банке-эмитенте. Относительно обеспечения безопасности данный инструмент [22]: может быть скомпрометирован и использован злоумышленником для несанкционированного доступа к счёту владельца инструмента; может быть использован ненадлежащим образом самим клиентом.
Далее в работе ненадлежащее использование собственных карт клиентами рассматривать не будем.
Федеральный закон "О техническом регулировании" №184-ФЗ регулирует отношения, возникающие при [23]: разработке, принятии, применении и исполнении обязательных требований к продукции или к связанными с ними процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, храпения, перевозки, реализации и утилизации; разработке, принятии, применении и исполнении на добровольной основе требований к продукции, процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, выполнению работ или оказанию услуг; оценке соответствия.
Данный закон устанавливает следующее определение риска. Риск - вероятность причинения вреда жизни или здоровью граждан, имуществу физических пли юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений с учётом тяжести этого вреда [23]. При этом безопасность продукции, процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации есть состояние, при котором отсутствует недопустимый риск, связанный с причинением вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений.
По определениям стандартов ГОСТ Р 51897-2002 "Менеджмент риска. Термины и определения" [24] и ГОСТ Р ИСО/МЭК 17799-2005 "Информационная технология. Практические правила управления информационной безопасностью" [25] оценка рисков — это оценка угроз, их последствий, уязвимости информации и средств её обработки, а также вероятности их возникновения. Управление рисками — процесс выявления, контроля и минимизации или устранения рисков безопасности, оказывающих влияние на информационные системы, в рамках допустимых затрат.
К системам менеджмента информационной безопасности применимы требования ГОСТ Р ИСО/МЭК 27001-2006 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования" [26].
Система менедэ/смента информационной безопасности — часть общей системы менеджмента, основанная на использовании методов оценки бизнес рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности.
Первоначальным этапом является идентификация риска, т.е. процесс нахождения, составления перечня и описания элементов риска. Риск может быть оценен, оценка представляет собой общий процесс анализа риска и его оценивания. Анализ риска состоит в систематическом использовании информации для определения источников риска и количественной оценки риска. Оценивание риска - это процесс сравнения количественно оценённого риска с заданными критериями риска для определения его значимости.
В результате обмена информации о риске и его осознании может быть принято решение по его обработке, т.е. выборе и осуществлению мер по его модификации, либо принятии риска. Обработка риска подразумевает планирование финансовых средств на соответствующие расходы (финансирование риска).
Риск может быть предотвращен в результате принятия решения о не вовлечении в рискованную ситуацию или действие, предупреждающее вовлечение в неё. Если предотвратить риск не удается, его можно перенести, т.е. разделить с другой стороной бремя потерь от него.
Снижение риска — это действия, предпринятые для уменьшения вероятности, негативных последствий или того и другого вместе, связанных с риском. При этом уменьшение последствий от события означает ограничение любого негативного последствия конкретного события. После обработки риска остается риск, называемый остаточным риском.
Актуальность разработки теории управления риском, наряду с нейронаукой и теоретической историей, относится рядом ученых к трём важнейшим задачам науки, от решения которых будет зависеть её будущее [27].
Обязательные критерии мониторинга со стороны МПС
МПС Visa International и MasterCard Worldwide установили ряд критериев для обязательного мониторинга операций для эквайреров и эмитентов. Невыполнение требований по обязательному мониторингу влечет за собой санкции и штрафы со стороны МПС [89, 90], что направлено на побуждение банков-участников к выполнению ряда процедур по уменьшению рисков, связанных с мошенничеством. Ранее в работе отмечалось, что в настоящее время обязательных критериев мониторинга МПС недостаточно, тем не менее они являются отправной точкой при определении параметров анализа транзакций для любой СМТ. Данные по транзакциям анализируются для каждой торговой точки, обслуживаемой эквайрером, отдельно по финансовым (клиринговым) транзакциям и авторизационным транзакциям. Для оценки активности используются данные по всем МПС, с которыми работает эквайрер. Мониторинг авторизационных транзакций. Эквайрер должен отслеживать все авторизационные запросы, как успешные, так и неуспешные. В ходе ежедневного мониторинга должны анализироваться следующие данные: сумма транзакции, количество транзакций, код ответа на авторизацию, номер карты, время и дата транзакции, параметры приёма карты (таблица 3). Из приведенного описания критериев мониторинга для эквайрера следует, что основная часть требований относится к нетипичным операциям как по числу транзакций, так и по суммам. Так, многочисленные операции по некоторой карте в одном ТСП могут свидетельствовать об использовании украденной или утерянной карты, а многочисленные операции с отрицательными кодами авторизации - об использовании поддельных карт злоумышленником в ТСП эквайрера. Мониторинг транзакций позволяет банкам-эмитентам отслеживать попытки проведения мошеннических транзакций по собственным картам и принимать меры для уменьшения рисков (таблица 5). По требованиям MasterCard эквайрер должен предпринимать дополнительные меры контроля потерь от мошенничества, если уровень мошенничества в базисных точках (basis points) в 2 раза превышает средний по MasterCard и годовые потери превышают 200 000 долл. США. MasterCard рекомендует также осуществлять мониторинг эмитентом следующих событий и параметров: атаки по сгенерированным номерам карт; отрицательные результаты проверок кодов верификации карты CVC1 и CVC2; операции по картам с истекшим сроком действия; транзакции по неверным номерам карт; транзакции в возможных точках компрометации; операции кредитования и отмены авторизации торговой точкой; списки неиспользуемых карт. Требования МПС относятся, прежде всего, к мониторингу в отложенном режиме, иные временные варианты мониторинга в настоящий момент не являются обязательными.
Кроме того, проведённый автором анализ текущей ситуации с мошенничеством в ПС показывает, что эти меры являются в современных условиях недостаточными, что было отмечено в главе 1. В связи с этим банк-эмитент должен разработать собственную политику управления рисками в ПСБК и выбрать ту СМТ, которая соответствует принятой политике, а не просто внедрить наиболее функциональное на данный момент техническое решение. Проведённое автором исследование и опыт выполнения практической части работы показывают, что следует добиться допустимого баланса между следующими показателями [6, 22]: принятие неадекватных решений по ограничению операций для не мошеннических операций; пропуск мошеннических операций; число сообщений, генерируемых СМТ, об операциях, не являющихся мошенническими; величины рисков в ПСБК с учётом работы СМТ и принимаемых на её основе решений. Несмотря на то, что описанные критерии мониторинга являются недостаточными, их применение обязательно. Несоблюдение данного требования и превышение допустимых порогов по уровням мошенничества приводят к штрафам и санкциям со стороны МПС, к ухудшению репутации (увеличению репутационного риска) и, в худшем случае, прерыванию деятельности в области банковских карт (отзыв лицензии). В связи с этим каждый банк должен учитывать требования МПС в этой области в своей деятельности по снижению рисков в ПСБК, связанных с мошенничеством. Банк как участник МПС обязан выполнять перечень процедур для контроля мошенничества. Невыполнение установленных требований приводит к штрафам, подрыву репутации банка и, в худшем случае, к отзыву лицензии участника МПС [б, 89, 90]. Visa определяет следующие нарушения, за которые предусмотрены санкции [90]. 1. Превышение уровня мошенничества по ТСП. Торгово-сервисная компания попадает в Глобальную Программу Мониторинга Опротестований по Торговцам (Global Merchant Chargeback Monitoring Programme), если любая из её точек достигает или превышает все следующие месячные лимиты для международных транзакций: 200 опротестований, 200 транзакций, уровень опротестованных транзакций составляет 2,0%. После попадания в программу эквайрер платит по 100 долл. США за каждую опротестованную транзакцию по каждому ТСП торгово-сервисной компании, попавшей в программу. Штраф может быть установлен Visa в 200 долл. США, если не предпринимаются меры по исправлению ситуации. 2.
Несоответствие эмитента требованиям риск мониторинга. Эмитент, не соответствующий правилам мониторинга, определенным в Операционных Правилах Visa по региону СЕМЕА раздел 2.7, в конце каждого финансового квартала будет выплачивать штраф, размер которого зависит от объема транзакций и варьируется от 6 000 до 25 000 долл. США [90]. Эти правила мониторинга описаны ранее в данной главе. 3. Несоответствие оквайрера требованиям риск мониторинга. Эквайрер, не соответствующий правилам мониторинга, определенным в Операционных Правилах Visa по региону СЕМЕА раздел 2.6, в конце каждого финансового квартала будет выплачивать штраф, размер которого зависит от объема транзакций и варьируется от 6 000 долл. США до 25 000 долл. США. Эти правила мониторинга описаны ранее в данной главе. 4. Превышение уровня мошенничества по эквайреру. Эквайреры, у которых квартальные потери от мошенничества превышают 50 000 долл. США и уровень мошенничества выше 0,35% (не учитываются мошеннические операции получения наличных, мошеннические операции по неполученным картам и картам, выданным по поддельным заявлениям). В течение первых четырёх кварталов штраф составляет 5 000 долл. США, за пятый, шестой и седьмой - 50 000 долл. США, далее Комитет Visa СЕМЕА рассматривает вопрос об отзыве эквайрерской лицензии. 5. Нарушение правил обработки транзакций электронной коммерции. Если ТСП осуществляет транзакции электронной коммерции, получая данные по Интернет, не осуществляет необходимой обработки полей, относящихся к транзакциям электронной коммерции (Electronic Commerce Indicator), то данное ТСП попадает в программу, а эквайрер начинает получать письменные оповещения от Visa о необходимости корректной обработки транзакций электронной коммерции. Через четыре месяца с эквайрера взимается штраф в 5 000 долл. США, через пять - 10 000 долл. США, через шесть - 25 000 долл. США.
ERD-диаграмма БД мошеннических операций
Для регистрации всех фактов, связанных с компрометацией данных и проведением мошеннических операций, автором предлагается обеспечить хранение данных в таблицах БД (рис. 20 и Приложение 2). Предлагаемый формат позволит фиксировать все аспекты, связанные с мошенничеством в ПСБК, что используется для подготовки регулярных отчетов по текущему уровню мошенничества и расчёта необходимых для получения количественной оценки рисков величин. Формат хранения данных позволяет учитывать всю информацию, связанную с мошенничеством, которую можно получить в ходе проведения мероприятий по обеспечению безопасности ПСБК, в том числе: заявления держателей карт по несогласию с проведенными операциями по их картам; информация от МПС, сторонних банков, правоохранительных органов, СМИ по фактам компрометации данных и проведению мошеннических операций, связанных с ПСБК банка; данные по точкам компрометации данных банковских карт банка; данные по точкам проведения мошеннических операций с банковскими картами банка; данные по объёмам мошеннических операций, предотвращённых потерь, страховых возмещений; данные по скомпрометированным картам в ПСБК банка. Организация единого хранилища описанных данных часто в банках не обеспечена, поскольку различные подразделения банка занимаются решением вопросов, связанных с безопасностью ПСБК, в рамках своей компетенции, и оперируют только частью информации по мошенничеству. Практическая часть работы позволяет сделать вывод о том, что агрегирование информации по мошенничеству в ПСБК, её обработка и анализ необходимы в современных реалиях. Далее приводится краткое описание таблиц БД и их назначение [153-155].
Об инциденте может стать известно от МПС, сторонних банков, СМИ, правоохранительных органов, из других источников. Возможно, Инцидент не имеет отношения к ПСБК банка в момент получения сообщения о нём, но должен быть зафиксирован для сохранения самого факта его происшествия, что, возможно, понадобится в будущем. Оператор. Оператором является уполномоченный сотрудник, осуществляющий регистрацию Инцидентов и Расследований. Каждый оператор имеет уникальный идентификатор. Расследование. Результатом Расследования должны являться подсчитанные суммы потерь (в т.ч. предотвращённых), принятые решения. Расследование может инициировать другое Расследование, тогда второе можно связать с первым через поле ID master расследования (таблица 10). Карточный продукт. Данная таблица содержит описание всех карточных продуктов, эмитируемых банком. Статус карты.
В данной таблице отражается текущий статус карты и значимая история изменений статуса для целей создания данной базы (таблица 11). Банк. В этой таблице хранятся данные по банку, его филиалам и партнёрам, карты которых фигурируют в каких-либо расследованиях. ТСП. Таблица содержит данные по ТСП, находящемуся на эквайринге, по которому проводится расследование. Данная таблица используется только для фиксирования данных по мошенническим операциям в эквайринговой сети банка. Транзакция по карте. Таблица содержит данные по всем операциям по карте, фигурирующей в каком-либо Расследовании. Её формат соответствует стандарту ISO 8583 и содержит данные, описывающие отдельную транзакцию. Следует отметить, что в соответствии с требованиями стандарта PCI DSS хранение ПИН-блоков и данных магнитной полосы карты запрещено, поэтому можно осуществлять, например, хранение признаков их наличия [55]. Правило. Таблица содержит описание правил и критериев мониторинга транзакций в СМТ, по которым принимаются решения о подозрительности транзакций на предмет мошенничества. Сработавшее правило. Если по транзакции срабатывает правило/критерий в СМТ, и транзакция содержит данные, фигурирующие в Расследовании, то данные по срабатыванию правила помещаются в эту таблицу. Изменение правила.
Изменения параметров существующих правил и критериев мониторинга отражаются в этой таблице. Принятое решение. На основе работы правил и критериев СМТ принимаются решения по ограничению операций по картам. В случаях, когда в результате анализа некоторой транзакции правило/критерий выявило подозрительную на предмет мошенничества операцию, данный факт отражается в таблице. Это позволит учитывать предотвращенные потери в результате использования СМТ. Мошенническая операция. Запись в таблице характеризует тип мошенничества по совершённой транзакции. Документ, свидетельствующий о мошенничестве. В ходе проведения Расследования могут быть получены различные документы, отражающие информацию по совершённым мошенническим операциям (таблица 12). К таким документам могут относиться оповещения МПС, заявления клиентов, объяснительные кассиров (в случае расследования фактов мошенничества в эквайринговой сети байка).
Методика оценки риска по эмиссии
Настоящая методика используется для получения количественной оценки рисков банка-эмитента, связанных с мошенничеством в ПСБК, по категориям мошенничества. 1. Данная методика используется для количественной оценки рисков банка-эмитента в ПСБК, связанных с мошенничеством. 2. Оценка риска - общий процесс анализа риска и его оценивания. Анализ риска -систематическое использование информации для определения источников риска и количественной оценки риска. Оценивание риска — процесс сравнения количественно оценённого риска с заданными критериями риска для определения его значимости. 3. Под платёжной системой банковских карт (ПСБК) банка понимается система обмена транзакциями и взаиморасчётов (клиринга), организованная банком на основе банковских карт. Мошенническая операция - это операция с использованием банковской карты или её реквизитов, не инициированная или не подтвержденная её держателем. Система Мониторинга Транзакций (СМТ) - автоматизированная система для выявления мошеннических операций в ПСБК и противодействия им. 4. Рассматриваются типы мошенничества с банковскими картами в ПСБК эмитента, риски от которых могут быть количественно оценены и уменьшены с использованием СМТ -операции по поддельным картам и операции без присутствия карты. 5. Методика позволяет связать количественную оценку рисков, связанных с мошенничеством, с параметрами выявления мошенничества СМТ. 6.
Исходным положением в методике является то, что каждая совершенная клиентом операция по карте увеличивает риск проведения мошеннических операций в дальнейшем за счёт увеличения вероятности компрометации данных карты и/или ПИН-кода. 7. Вероятности обнаружения мошеннических операций СМТ полагаются одинаковыми для всех карт эмитента в ПСБК. 8. Для регистрации всех фактов компрометации данных банковских карт и проведения мошеннических операций в ПСБК банка-эмитента создается база данных мошеннических операций (БДМ) в соответствии с ERD-диаграммой, приведенной в главе 3 и Приложении 2. 9. Имеется доступ к истории операций по всем действующим картам банка-эмитента в ПСБК. 10. По каждой действующей карте банка-эмитента имеются данные по истории движения средств по счёту карты, изменений статуса карты, история и параметры изменения ограничений операций с картой. 1.
Банк-эмитент задает критерии оценивания риска, определяя уровни допустимых рисков, связанных с мошенническими операциями по поддельным картам (SFR"od) и операциям без присутствия карты (SFR6"K). 2. Заданы критерии риска для оценивания: г» под S!od - годовая величина допустимого риска по мошенничеству с поддельными картами, S,od6n - годовая величина допустимого риска по мошенничеству без присутствия карты, С год""" годовая величина затрачиваемых средств на эксплуатацию СМТ. 4.5.3. Расчёт рисков 1. Расчёт риска по поддельным картам производится как сумма рисков по всем картам банка по следующей формуле: і - идентификатор банковской карты, с = l..c(i) - идентификатор страны использования карты /, т = 1..т(с(г))- идентификатор категории торгового предприятия в стране использования карты і, Wmp hpm(cmpc,mccm)(i)- число операций, связанных с компрометацией данных карты, по картам банка в стране стрс и категории торгового предприятия тсст за год, Wmp3 крт(стрс,тсст)(і)- общее число операций с присутствием карты по картам банка в стране стрс и категории торгового предприятия тсст за год, Wucn крт {стр, тсс)(ї) - число фактов последующего использования скомпрометированных в точках использования карты / (страна и категория торгового предприятия) данных, рпод_кРт (QQ}[J _ вероятность обнаружения несанкционированной операции эмитентом, 1Х2П сум (і) - доступные средства на счёте карты / для проведения операций в ТСП, WKnp mH{cmpc,mccm){i)- число операций, связанных с компрометацией данных карты и ПИН-кода, по картам банка в стране стрс и категории торгового предприятия тсст за год, WmpJ пш{стрс,тсст){г)- общее число операций с вводом ПИН-кода по картам банка в стране стрс и категории торгового предприятия тсст за год, Wucn пш {стр, тсс){ї) - число фактов последующего использования скомпрометированных в точках использования карты / (страна и категория торгового предприятия) данных, включая ПИН-код, рпод_пин 5//) - вероятность обнаружения несанкционированной операции эмитентом, «« (0" доступные средства на счёте карты / для проведения операций в банкомате. 2. Расчёт риска по мошенническим операциям без присутствия карты производится как сумма рисков по всем картам банка по следующей формуле: где / - идентификатор банковской карты, с = \..с(ї)- идентификатор страны использования карты /, т = \..?п(с(і))- идентификатор категории торгового предприятия в стране использования карты /, WKnp 6пк(стрс,тсст)(і) - число операций, связанных с компрометацией реквизитов карты, по картам банка в стране стрс и категории торгового предприятия тсст за год, W (стрс,тсст)(і)- общее число операций по картам банка в стране стрс и категории торгового предприятия тсст за год, WUUJ бпк(стр,тсс)(і)- число фактов последующего использования скомпрометированных в точках использования карты / (страна и категория торгового предприятия) данных, Р6ш {обн) - вероятность обнаружения несанкционированной операции эмитентом, S m (г) - доступные средства на счёте карты і для проведения операций без присутствия карты. 3. Производится оценивание рисков по заданным критериям. 4.
Таким образом, методика позволяет величины рисков, связанных с мошенничеством в ПСБК, поставить в зависимость от параметров выявления мошеннических операций СМТ. 1. Для характеристики текущего уровня мошенничества в ПСБК МПС и аналитические агентства часто используют интервальные оценки (за месяц, квартал, год) таких параметров, как объём мошеннических операций, объём мошеннических операций по различным категориям, объём мошенничества с разбивкой по регионам, по типам карточных продуктов и т.д. Автором формулируется ряд интервальных оценок для использования банком-эмитентом в ПСБК. 2. Для применения разработанной автором методики оценки рисков необходимо использовать две БД: БД операций по всем картам банка-эмитента и БД мошеннических операций в ПСБК банка-эмитента, соответствующей описанной в главе 3 ERD-диаграмме. 3. В методике делается ряд предположений: каждая совершённая по карте клиентом транзакция увеличивает вероятность компрометации данных карты и/или ПИН-кода; способность СМТ вьывлять мошенническую операцию не зависит от конкретной карты, а зависит только от типа мошенничества; расчёт рисков осуществляется для временного интервала в один год. 4. Банк-эмитент должен задать следующие критерии риска для оценивания: годовую величину допустимого риска по мошенничеству с поддельными картами, годовую величину допустимого риска по мошенничеству без присутствия карты, годовую величину затрачиваемых средств на эксплуатацию СМТ. 5. Расчёт риска по поддельным картам и риска по операциям без присутствия карты производится как сумма рисков по всем картам банка по приведённым в методике формулам.
