Безопасность карточного бизнеса : бизнес-энциклопедия
Шрифт:
В простейшем случае для вычисления риска производится оценка двух факторов: вероятность происшествия (Рпроисшествия) и тяжесть возможных последствий (ЦенаПотери).
РИСК = Рпроисшествия x ЦенаПотери.
Если переменные являются количественными величинами, то риск — оценка математического ожидания потерь.
Если переменные — качественные величины, метрическая операция умножения не определена и в явном виде эту формулу применять
В зарубежных методиках, рассчитанных на более высокие требования, чем базовый уровень обеспечения безопасности, используется модель оценки риска по трем факторам: угроза (Ругрозы), уязвимость (Руязвимости), цена потери. При этом
Рпроисшествия = Руязвимости x Ругрозы,
тогда:
РИСК = Руязвимости x Ругрозы x ЦенаПотери.
Данное выражение необходимо рассматривать как математическую формулу, если используются количественные шкалы, либо как формулировку общей идеи, если хотя бы одна из шкал — качественная. В последнем случае применяются различные табличные методы для расчета риска в зависимости от трех факторов.
Для оценки угроз и уязвимостей применяются различные методы, в основе которых лежат:
• экспертные оценки;
• статистические данные;
• учет факторов, влияющих на уровни угроз и уязвимостей.
Один из возможных подходов к разработке подобных методик — накопление статистических данных об имевших место происшествиях, анализ и классификация их причин, выявление факторов, от которых они зависят. Однако при реализации такого подхода возникают следующие сложности:
• должен быть собран материал о происшествиях;
• если информационная система сравнительно невелика и эксплуатирует новейшие элементы технологии, оценки угроз и уязвимостей могут оказаться недостоверными.
Мошеннические операции в ПСБК с точки зрения эмитента могут быть оценены количественно, потому что они связаны с проведением несанкционированных операций по счетам клиентов банка с использованием банковской карты как инструмента доступа к нему. Как было отмечено ранее, мошенничество направлено на информационный актив (счет клиента), ценность которого имеет стоимостное выражение. Поэтому для отдельной карты риск будет равен
SFR = Рмош x Sсум, (1)
где Рмош — вероятность проведения мошеннической операции по карте;
Sсум —
Для получения величины риска по указанной формуле необходимо рассчитать вероятность проведения мошеннических операций, поскольку величина доступных средств на счете клиента банка известна.
На основе анализа особенностей проведения операций по банковской карте в ПСБК автор выделяет ряд необходимых условий для проведения мошеннической операции независимо от типа мошенничества:
1) данные карты должны быть скомпрометированы;
2) скомпрометированные данные использованы для попытки проведения несанкционированной операции;
3) попытка проведения несанкционированной операции была осуществлена.
Если все три вышеперечисленных условия выполнены, то результат выполнения операции (в случае проведения операции в режиме реального времени — авторизации) определяется эмитентом. При этом следует учитывать способность эмитента до формирования ответа на авторизационный запрос проводить его проверку на предмет возможного мошенничества (мониторинг в режиме реального времени).
Из вышеизложенного следует, что вероятность проведения мошеннической операции Рмош с учетом формул условной вероятности и (1) можно определить следующим образом:
Рмош = Р(кпр) x Р(исп|кпр) x Р(поп|кпр-исп) x (1 — Р(обн)), (2)
где Р(кпр) — вероятность компрометации данных карт, необходимых для проведения мошеннической операции;
Р(исп|кпр) — вероятность использования скомпрометированных данных для проведения операции;
Р(поп|кпр-исп) — вероятность проведения несанкционированной операции (успех попытки проведения);
P(обн) — вероятность обнаружения несанкционированной операции эмитентом.
В соответствии с общепринятой классификацией существуют следующие типы мошенничества:
1) использование украденных или утерянных карт;
2) использование неполученных карт;
3) использование поддельных карт;
4) проведение операции с использованием реквизитов карты без ее присутствия;
5) несанкционированное использование персональных данных держателя карты и информации по счету клиента;
6) другие виды мошенничества.
Следует отметить, что последний тип мошенничества относится к таким несанкционированным операциям, тип которых (из 1–5) определить затруднительно. Фактически данный тип используется для информирования МПС о мошенничестве при условии сложности однозначного установления его типа, т. е. в расчетах можно ограничиться типами 1–5, если устранять неоднозначности присвоением известных типов.