Безопасность карточного бизнеса : бизнес-энциклопедия
Шрифт:
7. Наконец, платежные карты на основе магнитной полосы и традиционные платежи без присутствия карты (с использованием только номера карты, срока действия и кода верификации карты CVC2/CVV2) принципиально уязвимы ввиду уязвимости самих технологий. В связи с этим обеспечить безопасность принципиально уязвимых технологий невозможно.
Реализовывать требования Стандарта, очевидно, необходимо, поскольку он носит обязательный характер в соответствии с требованиями международных платежных систем. Тем не менее как сам Стандарт, так и процедуры сертификации на соответствие его требованиям имеют ряд отмеченных недостатков, препятствующих достижению его основной цели — защиты данных платежных карт.
В связи с этим более перспективным является другой путь обеспечения безопасности, а именно — не защита существующих уязвимых платежных технологий, требующая дополнительных инвестиций, а миграция на более современные и защищенные технологии, включая EMV и 3D-Secure, на которые участниками рынка уже потрачены значительные средства.
Глава 3
Обеспечение безопасности карточного бизнеса
Оценка рисков эмитента в платежной системе банковских карт с использованием мониторинга транзакций
В соответствии с Положением Банка России от 24 декабря 2004 г. № 266-П «Об эмиссии банковских карт и об операциях, совершаемых с использованием платежных карт» внутрибанковские правила должны содержать систему управления рисками при осуществлении операций с использованием платежных карт, включая порядок оценки кредитного риска, а также предотвращения рисков при использовании кодов, паролей в качестве аналога собственноручной подписи, в том числе при обработке и фиксировании результатов проверки таких кодов, паролей.
Банковская карта как инструмент для совершения безналичных операций по счету клиента в банке-эмитенте в плане обеспечения безопасности:
• может быть скомпрометирована и использована злоумышленником для несанкционированного доступа к счету владельца инструмента;
• может быть ненадлежащим образом использована самим клиентом [80] .
80
Подробнее о видах мошенничества с банковскими картами, уголовной ответственности и судебной практике в данной сфере см. раздел «Мошенничество в сфере банковских платежных карт».
В соответствии с определением, данным в Федеральном законе от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании» [81] (в ред. от 28 сентября 2010 г. № 243-ФЗ), риск есть вероятность причинения вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений с учетом тяжести этого вреда.
81
Собрание законодательства Российской Федерации. 2002. № 52 (ч. I) Ст. 5140.
По определениям стандартов ГОСТ Р 51897-2002 «Менеджмент риска. Термины и определения» и ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью» оценка рисков — это оценка угроз, их последствий, уязвимости информации и средств ее обработки, а также вероятности их возникновения. Управление рисками — процесс выявления, контроля и минимизации или устранения рисков безопасности, оказывающий влияние на информационные системы в рамках допустимых затрат.
К системам менеджмента информационной безопасности применимы требования ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования». Система менеджмента информационной безопасности — часть общей системы менеджмента, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности.
Первоначальным этапом является идентификация риска, т. е. процесс нахождения, составления перечня и описания элементов риска. Риск может быть оценен; оценка представляет собой общий процесс анализа риска и собственно его оценивание. Анализ риска состоит в систематическом использовании информации для определения источников риска и количественной оценки риска. Оценивание риска — это процесс сравнения количественно оцененного риска с заданными критериями риска для определения его значимости.
В результате обмена информации о риске и его осознании может быть принято решение по его обработке, т. е. выборе и осуществлению мер по его модификации, либо решение о принятии риска. Обработка риска подразумевает планирование финансовых средств на соответствующие расходы (финансирование риска).
Риск может быть предотвращен в результате принятия решения о «невхождении» в рискованную ситуацию или действия, предупреждающего вовлечение в нее. Если предотвратить риск не удается, его можно перенести, т. е. разделить с другой стороной бремя потерь от него.
Снижение риска — это действия, предпринятые для уменьшения вероятности наступления негативных последствий, связанных с риском. При этом уменьшение последствий от события означает ограничение любого негативного последствия конкретного события. После обработки остается риск, называемый остаточным риском.
Общие положения по обеспечению информационной безопасности в организациях банковской системы РФ устанавливаются Стандартом Банка России СТО БР ИББС-1.0-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». В соответствии со Стандартом информационная безопасность организации банковской системы РФ есть состояние защищенности интересов (целей) организации банковской системы в условиях угроз в информационной сфере. Защищенность достигается обеспечением совокупности свойств информационной безопасности — конфиденциальностью, целостностью, доступностью информационных активов для интересов (целей) организации. Информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение, хранение и использование информации, а также системы регулирования возникающих при этом отношений.
Письмо Банка России от 24 мая 2005 г. № 76-Т «Об организации управления операционным риском в кредитных организациях» содержит рекомендации по управлению операционным риском в кредитных организациях. Операционный риск — риск возникновения убытков в результате несоответствия характеру и масштабам деятельности кредитной организации и (или) требованиям действующего законодательства, внутренних порядков и процедур проведения банковских операций и других сделок, их нарушения служащими кредитной организации и (или) иными лицами (вследствие непреднамеренных или умышленных действий или бездействия), несоразмерности (недостаточности) функциональных возможностей (характеристик) применяемых кредитной организацией информационных, технологических и других систем и (или) их отказов (нарушений функционирования), а также в результате воздействия внешних событий.