Разработка методического обеспечения оценки и управления рисками в платежных системах на банковских картах тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Пархоменко, Андрей Петрович

Актуальность темы. За последнее десятилетие в России наметилась устойчивая тенденция развития систем безналичных платежей с использованием информационных технологий. Особое место среди них занимают платёжные системы расчётов на банковских картах (БК). На уровне региональной и федеральной власти вводятся программы перевода пенсионных и социальных выплат на данный платёжный инструмент. Предприятия и организации, как государственные, так и частные, участвуют в проектах, целью которых является перевод заработной платы сотрудников на карточные счета в банке. Неуклонный рост числа держателей БК и пунктов обслуживания операций с данным платёжным инструментом, развитие платёжных систем на БК, как элемента банковской информационной системы страны, несомненно, является положительным фактором развития современного российского общества. Но, к сожалению, глубокое внедрение платёжных систем расчётов на БК в инфраструктуру банковской информационной системы страны привело к возникновению новых видов преступлений в сфере высоких технологий -мошенничеству с использованием БК. Ежегодно увеличивается число случаев злоупотреблений, связанных с мошенническим использованием БК и ущерб от данных преступлений исчисляется миллиардами рублей. Помимо количественного увеличения объёмов мошенничества в сфере оборота БК, подобные злоупотребления изменяются и качественно: злоумышленники постоянно ищут новые возможности для реализации данного вида преступлений, обладают высокой гибкостью и оперативностью. Кроме прямых финансовых потерь, кредитно-финансовые учреждения несут косвенные потери, связанные с уходом клиентов, уменьшением оборотов, ударом по репутации.

В Доктрине информационной безопасности (ИБ) Российской Федерации указано, что "национальная безопасность Российской Федерации существенным образом зависит от обеспечения информационной безопасности, и в ходе развития технического прогресса эта зависимость будет возрастать".

Одним из основных направлений обеспечения информационной безопасности является повышение безопасности информационных систем в банковской и кредитно-финансовой сфере.

Появление и осознание проблем ИБ в банковской и кредитно-финансовой сфере, а именно в платёжных системах расчётов на БК, приводит к необходимости измерения величины риска, связанного с возникновением ущерба. Только на основе оценки риска можно определить необходимую степень защиты, выбрать стратегию развития информационной структуры платёжной системы и поддерживать на должном уровне её безопасность. Кроме того, помимо задачи оценки риска возникает необходимость в управлении риском. Понятие «управление рисками» появилось сравнительно недавно и сегодня вызывает постоянный интерес специалистов в области обеспечения непрерывности бизнеса и сетевой безопасности. В настоящее время управление информационными рисками представляет собой одно из наиболее актуальных и динамично развивающихся направлений стратегического и оперативного менеджмента в области защиты информации (ЗИ). Однако до настоящего момента отсутствует методическое обеспечение для количественной оценки рисков, связанных с ущербом от мошеннических операций с банковскими картами, не проработаны методы управления такими рисками, что, несомненно, является краеугольным камнем в дальнейшем развитии индустрии расчётов на банковских картах и всей кредитно-финансовой системы страны в целом и требует большего внимания со стороны специалистов в области ИБ.

Учитывая вышесказанное, вопросы разработки методического обеспечения оценки и управления рисками в ПС на БК являются чрезвычайно актуальными.

Работа выполнена в соответствии с одним из основных научных направлений Международного института компьютерных технологий «Обработка и защита информации».

Объект исследования. Типовые платёжные системы на банковских картах с магнитной полосой, подверженные угрозам мошеннических операций (МО).

Предмет исследования. Методическое обеспечение оценки и управления рисками в платёжных системах на банковских картах.

Цель и задачи исследования. Создание формализованного методического обеспечения численной оценки и управления рисками в платёжных системах на банковских картах.

Основные задачи. Для достижения поставленной цели в работе решались следующие задачи:

1. Анализ способов мошеннического использования БК и их характеристик.

2. Дальнейшее развитие и адаптация методологии стохастического анализа в части нахождения рисков и защищенности систем по заданным статистическим данным ущерба, причиняемого МО с БК.

3. Разработка методик аналитической и численной оценки вероятностей наступления ущербов различной величины применительно к МО с БК.

4. Разработка вероятностных алгоритмов выявления МО с БК по группе независимых признаков и их комбинациям, включая принятие решений по организационно-правовому воздействию.

Методы исследования. В работе использованы методы теории вероятностей и математической статистики, теории риска, теории системного анализа и управления, теории принятия решений.

Обоснованность научных положений, выводов, сформулированных в диссертации, обеспечивается: корректным применением перечисленных методов исследований; экспертизой результатов при их публикации в печатных изданиях.

Научная новизна. В диссертационной работе получены следующие результаты, характеризующиеся научной новизной:

1. Методология стохастического анализа отличается от аналогов тем, что она адаптирована к нахождению рисков в платёжных системах на банковских картах, связанных с ущёрбом от МО.

2. Впервые разработаны алгоритмы выявления МО с БК по отдельным признакам и группе признаков, включая риск-анализ операций с БК, отличительной особенностью которых является формализованное описание алгоритмов оценки опасности операции с БК и принятия решения о том, что она является мошеннической.

3. Предложены механизмы организационно-правового управления рисками МО с БК, в которых впервые представлены алгоритмы принятия управленческих решений по противодействию МО с БК, отличительной особенностью которых является использование результатов риск - анализа операций с БК.

Практическая значимость полученных результатов. Научные выводы, сделанные в работе по оценке рисков в платёжных системах на БК, разработанные алгоритмы для управлениями рисками позволяют эффективно их использовать для обеспечения безопасности в платёжных системах расчётов на банковских картах. Разработанные методики позволяют не просто оценивать риск мошеннических операций с банковскими картами, но и принимать решение о том, является ли операция мошеннической, управлять противодействием подобным злоупотреблениям.

Кроме того, полученные результаты используются в Международном институте компьютерных технологий в ходе курсового и дипломного проектирования на кафедре «Системы информационной безопасности» студентами специальности 075300 «Организация и технология защиты информации», а также при выполнении ими индивидуальных заданий по дисциплине «Компьютерные преступления», что подтверждено актами внедрения в учебный процесс.

Научные результаты, полученные в диссертационной работе, были внедрены в ОАО «Воронежпромбанк», ООО «Рукард - Воронеж», что подтверждено актами внедрения.

Апробация работы. Основные результаты диссертационной работы докладывались и обсуждались на следующих конференциях: на региональной студенческой научной конференции «Проектирование и обеспечение безопасности информационно-телекоммуникационных систем» (Воронеж, 2000); региональной конференции молодых учёных «Проблемы передачи, обработки и защиты информации в технических, биологических и социальных системах» (Воронеж, 2003); региональной конференции молодёжи «ЮниорИнфоСофети» (Воронеж, 2005).

Публикации. По теме диссертации работы опубликовано 15 научных работ, в том числе 9 - в изданиях рекомендованных ВАК РФ.

В работах, опубликованных в соавторстве, лично автору принадлежит: метод ранжирования источников угроз информационной безопасности в платёжных системах расчётов на БК [5]. В работах [1,2,12] автором дана характеристика основных видов преступлений с использованием БК. В работе [3] проведён анализ возможных угроз ИБ в платёжных системах расчётов на БК. Лично автором в работе [4] рассмотрены основные требования, предъявляемые к средствам защиты информации в платёжных системах на банковских картах. В работах [6,15] автором описаны методики выявления мошеннических операций с БК. В работе [7] автором описаны алгоритмы управления рисками в платёжных системах на БК. В работе [10], автором рассмотрены методы конструктивного представления систем, которые могут быть применимы к исследованию платёжных систем на БК. В работе [8] лично автором предложен алгоритм выявления мошеннической операций на основе вероятностной оценки. В работах [11,13] автором рассмотрены основные угрозы ИБ в платёжных системах на банковских картах и риски, связанные с мошенническим использованием банковских карт.

Основные положения, выносимые на защиту.

1. Методология стохастического анализа в части нахождения рисков и защищенности систем по заданным статистическим данным ущерба, причиняемого МО с БК.

2. Алгоритмы выявления МО с БК по отдельным и группе признаков, включая риск - анализ операций с БК.

3. Формализованное описание алгоритмов оценки опасности операций с БК и алгоритмы организационно-правового управления рисками МО с БК.

Структура и объём работы. Диссертация состоит из введения, четырёх глав, заключения, списка литературы, включающего 72 наименования, и приложения на 2 страницах. Основной текст изложен на 105 страницах. Работа содержит 34 рисунка и 16 таблиц.

4.4. Выводы по четвертой главе

1. Обобщение данных мониторинга мошеннических операций с БК свидетельствует о наличии ряда признаков, с помощью которых представляется возможным своевременно выявлять и пресекать преступную деятельность данного профиля.

2. С использованием теории вероятностей, предложены алгоритмы выявления МО с БК по отдельным и группе признаков, включая риск - анализ операций с БК.

3. Предложены алгоритмы организационно-правового управления рисками МО с БК, включая схемы консолидации банковского сообщества в части информационного обмена и актуализации статистики данного вида правонарушений.

Траектория устойчивого развития платежной системы расчетов на БК

Рис. 4.6. Структурная схема управления безопасностью платежной системы расчетов на БК

Рис. 4.7. Структурная схема рискового режима развития платежной системы расчетов на БК

ЗАКЛЮЧЕНИЕ

В работе получены следующие основные результаты:

1. Развита и адаптирована методология стохастического анализа в части нахождения рисков и защищённости систем по заданным статистическим данным значений ущерба для платёжных систем (ПС), причиняемого мошенническими операциями (МО) с банковскими картами (БК).

2. Получены аналитические выражения для риска и защищённости платёжных систем с БК в самом общем виде, которые могут быть адаптированы для различных одиночных признаков МО и их групп.

3. Разработаны алгоритмы выявления МО с БК по отдельным и группе признаков, включая риск-анализ операций с БК. Выделены основные характеристики операций с БК, при помощи которых формируются признаки МО. Формализованным научным языком описаны алгоритмы оценки опасности операции с БК и принятия решения о том, что она является мошеннической.

4. Предложены алгоритмы организационно-правового управления рисками МО с БК, включая схемы консолидации банковского сообщества в части информационного обмена и актуализации статистики данного вида правонарушений.

5. Разработаны алгоритмы принятия управленческих решений по противодействию МО с БК, используя результаты риск-анализа.

1. А.А.Андреев, А.Г.Морозов, А.И.Логинов и др. Пластиковые карты. 2-ое издание, переработанное и дополненное - М.: Концерн «Банковский Деловой Центр», 1998. -312с.;20 с. вкл.

2. Беликов В., Быстров Л., Невежин В., Спесивцев А. Электронные деньги: накопление, использование, хранение и безопасность. М., 1995. -96с.

3. Ванин А., Карл Сумманец. Введение в телебанкинг/Банковские технологии, 2000,№ 7-8.

4. Вертузаев М.С., Кондратьев Я.Ю. Способы совершения преступлений с использованием банковских платёжных карт. Материалы Центра исследования компьютерных преступлений.

5. Готовчиков И.Ф. Математические методы оценки банковских рисков.//Бизнес и банки, 2001, №1-2, январь. С.4.

6. Ивасенко А.Г. Пластиковые карточки: экономическая сущность, проблемы и перспективы развития: Учебное пособие. М.: Вузовская книга, 1997.-104с.

7. Кобелев Н.Б. Практика применения экономико-математических методов и моделей. Учебно-практическое пособие. М.: ЗАО «Финстатинформ», 200.-246с.

8. Криминальная экономика и экономическая преступность. Преступления с использованием банковских карт. Материалы электронного учебника «Теневая экономика и экономическая преступность»http://newasp. omskreg. ru

9. Тронин Ю.В. Можно ли управлять рисками?//Банковские технологии, 2000, №3.

10. З.Шишкин Е.В., Чхартишвили А.Г. Математические методы и модели в управлении: Учебное пособие. М.: Дело, 2000. - 440с. 14,Эллис Б. Отмывание денег и новые технологии. Борьба с карточным мошенничеством. /ПЛАС: платежи, системы и карточки, 2002, №6-7. С.39

11. Магнус Я.Р., Катышев П.К., Пересецкий А.А. Эконометрика. Начальный курс: Учеб.-6-е изд., перераб и доп. М.:Дело,2004. - 576 с.

12. Айвазян С.А., Мхитарян B.C. Прикладная статистика и основы эконометрики. Учебник для вузов. М.:ЮНИТИ, 1998. - 1022 с.

13. Ивченко Г.И., Медведев Ю.И. Математическая статистика: Учеб. Пособие для втузов. 2-е изд., доп. - М.: Высш.шк., 1992. - 304 е.: ил.

14. Гнеденко Б.В., Курс теории вероятностей: Учебник Изд.б-е, перераб. и доп. - М.:Наука. Гл. ред. физ.-мат. лит., 1988. - 448 с.

15. Г.А. Соколов, И.М. Гладких. Математическая статистика. Учебник для вузов. М.: Издательство «Экзамен», 2004. - 432 с.

16. Моделирование информационных операций и атак в сфере государственного и муниципального управления /В.Г. Кулаков, В.Г. Кобяшев, А.Б. Андреев, А.В. Заряев, В.А. Минаев, С.В. Скрыль,

17. А.В. Хаустович, В.В. Летуновский, В.И. Белоножкин, Г.А. Остапенко; Под редакцией В.И. Борисова. Воронеж: ВИ МВД России, 2004. -144 с.

18. Risk and reward. VISA CEMEA 2000.

19. Risk Management. Visa International. Sertificate in Bank Card Management. 2000

20. Strategies for Issuing. Managing risk in the 21th century. VISA CEMEA, 2000.

21. Aquier Fraud Management Best Practice. Visa international, January 2000 25.Issuer Fraud Management Best Practice. Visa international, January 2000. 26. A guide to monitoring threshold. Visa International. 2003.

22. Материалы семинара «Особенности бизнеса с платёжными картами». НОУ «Учебный центр Банкир.Ру», Май 2005.2828. Материалы к семинару «Безопасность при работе с банковскими кратами». НОУ «Учебный центр Банкир.Ру», Октябрь 2005.

23. А.Г. Остапенко, Р.В. Батищев, А.П. Пархоменко. Характеристика основных видов преступлений с использованием банковских пластиковых карт//Региональный научный вестник «Информация и безопасность».Вып. 1.-Воронеж: ВГТУ,2004.с. 46-50.

24. Р.В. Батищев, А.П. Пархоменко; P.M. Чекалин; Анализ возможных угроз ИБ в платёжных системах расчётов с помощью банковских карт//Региональный научный вестник «Информация и безопасность».Вып.2.-Воронеж, ВГТУ,2004.с. 63-65

25. Р.В. Батищев, А.П. Пархоменко; P.M. Чекалин; К вопросу о критериях и требованиях, предъявляемых к криптографическим средствам защиты банковской информации//Региональный научный вестник «Информация и безопасность».Вып.1.-Воронеж, ВГТУ, 2004.С. 96-99.

26. Е.И. Воробьёва, JI.B. Воробьёва, А.П. Пархоменко Ранжировние источников угроз информационной безопасности в платёжных системах на пластиковых картах. //Региональный научный вестник «Информация и безопасность».Вып.1.-Воронеж, ВГТУ,2003. с. 78-84.

27. А.П.Пархоменко, Р.В.Батищев, Е.Д. Фёдоров. Использование механизма ассоциативной логики и нейронных сетей для выявления мошеннических транзакций.//Региональный научный вестник «Информация и безопасность».Вып. 1.-Воронеж, ВГТУ,2005. с. 108-115.

28. Тонева Е. Аппроксимация распределений погрешности средств измерений // Измерительная техника, 1981. № 6. С. 15-16.;

29. Фукунага К. Введение в статистическую теорию распознавания образов. Пер. С англ. -М.: Наука. Главная редакция физико-математической литературы, 1979, 368 стр.

30. Нейлор К. Как построить свою экспертную ситсему: Пер. с англ.-М. : Энергоатомиздат, 1991. -286 с. ил.

31. Патрик Э. Основы теории распознавания образов: Пер с англ./Под ред. Б.Р. Левина. М.: Сов. Радио, 1980-408с, ил.

32. К.Асаи, Д.Ватада, С. Иваи и др. Прикладные нечёткие системы: Пер. с япон. -М.: Мир, 1993 е., ил.

33. Дж. Ту, Р. Гонсалес. Принципы распознавания образов: Пер с англ.: М. : "Мир", 1978.-411 с. ил.

34. Хованов Н.В. Математические модели риска и неопределённости. СПб. Литер, 2000.

35. Соложенцев Е.Д., Карасев В.В. Логико-вероятностные модели риска в бизнесе с группами несовместных событий/УЭкономика и математические методы, 2003. №1. с. 90-105.

36. Владимиров В.А., Воробьёв Ю.Л., Салов С.С. Управление риском. М. : Наука, 2000.

37. Альберт С., Венц Дж. Ульямс Т. Мошенничество. Луч света на тёмные стороны бизнеса/ Пер. с англ. СПб.: Питер, 1995.

38. Henly E.I., Kumamoto Н. Reliability engeneering and risk assessment. New York: Prentice-Hall, 1985.

39. Муха B.C. Статистические методы обработки данных: Лаб. практикум для студ. спец. 53 01 02 «Автоматизированные системы обработки информации» всех форм обучения / B.C. Муха, Т.В. Слуянова. Мн.: БГУИР,2004. - 98 с.

40. Недосекин А.О. Применение теории нечетких множеств в задачах управления финансами // Аудит и финансовый анализ, 2000 № 2.

41. Недосекин А.О. Применение теории нечетких множеств в задачах управления финансами // Аудит и финансовый анализ, 2000 № 2.

42. Новиков А.А. Уязвимость и информационная безопасность телекоммуникационных технологий: Учебное пособие для вузов. / А.А. Новиков, Г.Н. Устинов. М.: Радио и связь, 2003. - 296 с.

43. Новиков Ф.А. Дискретная математика для программистов. СПб: Питер, 2004.-368 с.

44. Новоселов А.А. Лекции для студентов КГУ по теории риска, 2000.

45. Новоселов А.А. Математическое моделирование финансовых рисков. Теория измерения. Новосибирск: Наука, 2001.52.0жегов С.И. Словарь русского языка. М.: Сов. Энциклопедия, 1970. -900с.

46. Остапенко О.А. Методология оценки риска и защищенности систем. //Информация и безопасность: Регион, науч.-техн. журнал. Воронеж. 2005. Вып. 2.-С. 28-32.

47. Петренко С.А. Управление информационными рисками: Экономически оправданная безопасность. / С.А. Петренко, С.В. Симонов. М. АйТи-Пресс, 2004.-381 с.

48. Петров Ю.П. Новые главы теории управления и компьютерных вычислений. СПб: БХВ - Петербург, 2004. - 192 с.

49. Поллард Дж. Справочник по вычислительным методам статистики. М.: Финансы и статистика, 1982.

50. Приходько АЛ. Словарь-справочник по информационной безопасности. -М.: СИНТЕГ, 2001.-124 с.

51. Программирование алгоритмов обработки данных. СПб: БХВ -Петербург, 2003.-192 с.

52. Проценко О.Д. Риск-менеджмент на российских предприятиях: проблемы и перспективы развития. М.: 2001.

53. Пустыльник Е.И. Статистические методы анализа и обработки наблюдений. М.: Наука, 1971.

54. Руководство по применению стандарта ИСО 9001:2000 при разработке программных средств. М: Стандарты и качество, 2002. - 104 с.

55. Садердинов А.А. Построение комплексных программно-технических проектов интегрированных систем организационного управления. / А.А. Садердинов, В.А. Трайнев. М: Маркетинг, 2001. -288 с.

56. Саульев В.К. Математическая обработка результатов наблюдений. М.: Изд-воМАИ, 1974.

57. Симонов С. Методология анализа рисков в информационных системах. //Конфидент, № 1,2001.

58. Симонов С. Анализ рисков, управление рисками. //Jet Info. Информационный бюллетень. № 1(68), 1999. С. 2-28.

59. Симонов С. Технологии и инструментарий для управления рисками. //Jet Info. № 2,2003.

60. Статьев В.Ю. Оценка информационных рисков в системах обработки служебной информации. М. 2004.

61. Степнов М.Н. Статистические методы обработки результатов механических испытаний. -М.: Машиностроение, 1985.

62. Голдовский И. М. Микропроцессорные карты стандарта EMV. -М.:Издательская группа «БДЦ-пресс», 2006. -544с.