Безопасность карточного бизнеса : бизнес-энциклопедия
Шрифт:
Репутационный риск является, по существу, интегрированным и представляет собой качественную оценку репутации банка, доверия к нему клиентов и партнеров. Риск непрерывности бизнеса связан с нарушением правил ПС при обслуживании банковских карт и не является особенно сложным, чтобы свести его к минимуму. Таким образом, наиболее сложным и значимым является операционный риск, связанный с мошенничеством.
Как было отмечено ранее, обработка операционного риска в ПСБК включает в себя проведение мероприятий по его предотвращению, снижению, переносу или принятию, в том числе:
1) соблюдение обязательных
2) страхование рисков. Все большее распространение в России получает практика переноса рисков на страховые компании. Необходимо рассмотреть имеющиеся возможности по страхованию и использовать эту меру совместно с другими;
3) претензионную работу. Качественное проведение претензионной работы позволит уменьшить суммы от мошенничества, относимые на убытки банка, клиентов или страховых компаний;
4) мониторинг. Своевременное выявление мошенничества и принятие адекватных и эффективных мер на основе системы мониторинга в ПСБК должно стать инструментом снижения рисков в ПСБК.
Любое лицо, запрашивающее доступ к банковскому счету с целью выполнения финансовой операции и (или) для получения информации о статусе счета, на момент запроса доступа к счету является для банка-эмитента только лицом, совершающим операцию. Поэтому корректность аутентификации лица, совершающего операцию с использованием банковской карты, является важной для обеспечения безопасности проводимой операции. От того, насколько применяемые процедуры позволяют банку-эмитенту карты быть уверенным в том, что операция выполнена с использованием эмитированной банком карты и совершается законным держателем карты, которому карта была выдана на основе договора банка с клиентом, зависит безопасность операции.
Таким образом, мошенничество с банковскими картами (т. е. несанкционированный доступ к счету законного держателя карты) по определению относится к операционному риску. Данный риск может быть оценен количественно, поскольку мошенничество всегда связано с несанкционированными операциями по банковскому счету, в ходе которых банковская карта используется как инструмент доступа к нему. Ценность актива, которым является банковский счет клиента — держателя карты, имеет стоимостное выражение, а мошенничество направлено на этот актив.
К современным технологическим решениям, используемым для противодействия мошенничеству, относятся системы мониторинга транзакций (СМТ).
Мошенничество с банковскими картами приводит к финансовым потерям и снижению доверия со стороны клиентов к данному банковскому продукту, поэтому важно осознать актуальность мер противодействия и разработать комплексный подход к решению проблемы для уменьшения рисков. Раннее обнаружение мошенничества и принятие адекватных и эффективных мер являются необходимыми условиями обеспечения безопасности ПСБК и должны проводиться в рамках мероприятий по управлению операционным риском в банке.
Характерной особенностью современной задачи защиты информации является комплексность защиты. Под комплексностью понимается как решение в рамках единой концепции двух и более разноплановых задач (целевая комплексность), или использование для решения одной и той же задачи разноплановых инструментальных средств (инструментальная
Далее сформулируем общие требования к СМТ и задачи мониторинга транзакций в ПСБК.
1. Мониторинг транзакций по банковским картам должен обеспечивать анализ всех авторизационных и клиринговых операций по банковским картам в ПСБК и принятие решений по подозрительным на предмет мошенничества операциям с целью уменьшения рисков.
2. Система мониторинга транзакций является инструментом уменьшения рисков, связанных с проведением мошеннических операций по банковским картам, и должна быть составной частью комплексного подхода к обеспечению безопасности ПСБК банка.
Выбор той или иной СМТ банком-эмитентом должен основываться на анализе существующих рисков. Система должна использоваться для снижения финансовых потерь банка и держателей карт, снижения недовольства клиентов и повышения доверия к банку.
В стандарте СТО БР ИББС-1.0-2010 мониторинг информационной безопасности (ИБ) организации банковской системы РФ определяется как постоянное наблюдение за событиями мониторинга ИБ, сбор, анализ и обобщение результатов наблюдения. Событием мониторинга в данной терминологии является любое событие, имеющее отношение к ИБ. Мониторинг ИБ должен проводиться персоналом организации, ответственным за ИБ, с целью обнаружения и регистрации отклонений функционирования защитных мер от требований ИБ и оценки полноты реализации положений политики ИБ, инструкций и руководств обеспечения ИБ в организации. Основными целями мониторинга ИБ в организации являются оперативное и постоянное наблюдение, сбор, анализ и обработка данных под заданные руководством цели.
Исходя из определения ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения» мониторинг безопасности информации представляет собой постоянное наблюдение за процессом обеспечения безопасности информации в информационной системе с целью установить его соответствие требованиям безопасности информации.
По терминологии МПС под транзакцией (или операцией) понимается одно из следующих определений:
• инициируемая держателем карты последовательность сообщений, вырабатываемых и передаваемых друг другу участниками системы для обслуживания держателей карт, при соблюдении свойств неделимости (должны выполняться все составляющие транзакции или не выполняться ни одна), согласованности (транзакция не нарушает корректности информации в базах данных), изолированности (отдельная транзакция не зависит от других), надежности (завершенная транзакция должна восстанавливаться после сбоя, а незавершенная — отменяться);
• единичный факт использования карты для приобретения товаров или услуг, получения наличных денежных средств или информации по счету, следствием которого является дебетование или кредитование счета клиента.
В соответствии с ранее приведенным определением мошенническая операция — операция с использованием банковской карты или ее реквизитов, не инициированная или не подтвержденная ее держателем. Мониторинг использует набор критериев и признаков (fraudulent pattern), позволяющих идентифицировать и своевременно пресечь несанкционированное использование карты.