автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Разработка методического обеспечения оценки и управления рисками в платежных системах на банковских картах

На правах рукописи

ПАРХОМЕНКО Андрей Петрович

РАЗРАБОТКА МЕТОДИЧЕСКОГО ОБЕСПЕЧЕНИЯ ОЦЕНКИ И УПРАВЛЕНИЯ РИСКАМИ В ПЛАТЁЖНЫХ СИСТЕМАХ НА БАНКОВСКИХ КАРТАХ

Специальность: 05.13.19 - Методы и системы защиты информации,

информационная безопасность

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

Воронеж - 2006

Работа выполнена в Международном институте компьютерных технологий

Научный руководитель доктор технических наук,

профессор

Остапенко Александр Григорьевич

Официальные оппоненты:

доктор технических наук профессор

Макаров Олег Юрьевич;

кандидат технических наук Белоножкин Владимир Иванович

Ведущая организация

ОАО «Концерн «Созвездие» (г, Воронеж)

Защита состоится 21 декабря 2006 г. в 16 часов в конференц-зале на заседании диссертационного совета Д 212.037,08 Воронежского государственного технического университета по адресу; 394026, г. Воронеж, Московский просп., 14.

С диссертацией можно ознакомиться в научной библиотеке Воронежского государственного технического университета.

Автореферат разослан «20 ноября 2006 г.

Ученый секретарь диссертационного совета

Батищев Р.В.

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы. За последнее десятилетие в России наметилась устойчивая тенденция развития систем безналичных платежей с использованием информационных технологий. Особое место среди них занимают платёжные системы расчётов на банковских картах (БК). На уровне региональной и федеральной власти вводятся программы перевода пенсионных и социальных выплат на данный платёжный инструмент. Предприятия и организации, как государственные, так и частные, участвуют в проектах, целью которых является перевод заработной платы сотрудников на карточные счета в банке. Неуклонный рост числа держателей БК и пунктов обслуживания операций с данным платёжным инструментом, развитие платёжных систем на БК, как элемента банковской информационной системы страны, несомненно, является положительным фактором развития современного российского общества. Но, к сожалению, глубокое внедрение платёжных систем расчётов на БК в инфраструктуру банковской информационной системы страны привело к возникновению новых видов преступлений в сфере высоких технологий -мошенничеству с использованием БК. Ежегодно увеличивается число случаев злоупотреблений, связанных с мошенническим использованием БК и ущерб от данных преступлений исчисляется миллиардами рублей. Помимо количественного увеличения объёмов мошенничества в сфере оборота БК, подобные злоупотребления изменяются и качественно: злоумышленники постоянно ищут новые возможности для реализации данного вида преступлений, обладают высокой гибкостью н оперативностью. Кроме прямых финансовых потерь, кредитно-финансовые учреждения несут косвенные потери, связанные с уходом клиентов, уменьшением оборотов, ударом по репутации,

В Доктрине информационной безопасности (ИБ) Российской Федерации указано, что "национальная безопасность Российской Федерации существенным образом зависит от обеспечения информационной безопасности, и в ходе развития технического прогресса эта зависимость будет возрастать". Одним из основных направлений обеспечения информационной безопасности является повышение безопасности информационных систем в банковской и кредитно-финансовой сфере.

Появление и осознание проблем ИБ в банковской и кредитно-финансовой сфере, а именно в платёжных системах расчётов на БК, приводит к необходимости измерения величины риска, связанного с. возникновением ущерба. Только на основе оценки риска можно определить необходимую степень защиты, выбрать стратегию развития информационной структуры платёжной системы и поддерживать на должном уровне её безопасность. Кроме того, помимо задачи оценки риска возникает необходимость в управлении риском. Понятие «управление рисками» появилось сравнительно недавно и сегодня вызывает постоянный интерес специалистов в области обеспечения непрерывности бизнеса и сетевой безопасности. В настоящее время управление информационными рисками представляет собой одно из

наиболее актуальных и динамично развивающихся направлений стратегического и оперативного менеджмента в области защиты информации (ЗИ). Однако до настоящего момента отсутствует методическое обеспечение для количественной оценки рисков, связанных с ущербом от мошеннических операций с банковскими картами, не проработаны методы управления такими рисками, что, несомненно, является краеугольным камнем в дальнейшем развитии индустрии расчётов на банковских картах и всей кредитно-финансовой системы страны в целом и требует большего внимания со стороны специалистов в области ИБ.

Учитывая вышесказанное, вопросы разработки методического обеспечения оценки и управления рисками в ПС на БК являются чрезвычайно актуальными.

Работа выполнена в соответствии с одним из основных научных направлений Международного института компьютерных технологий «Обработка и защита информации».

Объект исследования. Типовые платёжные системы на банковских картах с магнитной полосой, подверженные угрозам мошеннических операций (МО).

Предмет исследования. Методическое обеспечение оценки и управления рисками в платёжных системах на банковских картах.

Цель и задачи исследования. Создание формализованного методического обеспечения численной оценки и управления рисками в платёжных системах на банковских картах.

Основные задачи. Для достижения поставленной цели в работе решались следующие задачи:

1. Анализ способов мошеннического использования БК и их характеристик.

2. Дальнейшее развитие и адаптация методологии стохастического анализа в части нахождения рисков и защищенности систем по заданным статистическим данным ущерба, причиняемого МО с БК.

3. Разработка методик аналитической и численной оценки вероятностей наступления ущербов различной величины применительно к МО с БК.

4. Разработка вероятностных алгоритмов выявления МО С БК по группе независимых признаков и их комбинациям, включая принятие решений по организационно-правовому воздействию.

]У1етоды исследования. В работе использованы методы теории вероятностей и математической статистики, теории риска, теории системного анализа и управления, теории принятия решений.

Обоснованность научных положений, выводов, сформулированных в диссертации, обеспечивается; корректным применением перечисленных методов исследований; экспертизой результатов при их публикации в печатных изданиях.

Научная новизна, В диссертационной работе получены следующие результаты, характеризующиеся научной новизной:

2

1. Методология стохастического анализа отличается от аналогов тем, что она адаптирована к нахождению рисков в платёжных системах на банковских картах, связанных с ущербом от МО.

2. Впервые разработаны алгоритмы выявления МО с БК по отдельным признакам и группе признаков, включая риск-анализ операций с БК, отличительной особенностью которых является формализованное описание алгоритмов оценки опасности операции с БК и принятия решения о том, что она является мошеннической.

3. Предложены механизмы организационно-правового управления рисками МО с БК, в которых впервые представлены алгоритмы принятия управленческих решений по противодействию МО с БК, отличительной особенностью которых является использование результатов риск - анализа операций с БК.

Практическая значимость полученных результатов. Научные выводы, сделанные в работе по оценке рисков в платёжных системах на БК, разработанные алгоритмы для управлениями рисками позволяют эффективно их использовать для обеспечения безопасности в платёжных системах расчетов на банковских картах. Разработанные методики позволяют не просто оценивать риск мошеннических операций с банковскими картами, но и принимать решение о том, является ли операция мошеннической, управлять противодействием подобным злоупотреблениям.

Кроме того, полученные результаты используются в Международном институте компьютерных технологий в ходе курсового и дипломного проектирования на кафедре «Системы информационной безопасности» студентами специальности 075300 «Организация и технология защиты информации», а также при выполнении ими индивидуальных заданий по дисциплине «Компьютерные преступления», что подтверждено актами внедрения в учебный процесс.

Научные результаты, полученные в диссертационной работе, были внедрены в ОАО «Воронежпромбанк», ООО «Рукард - Воронеж», что подтверждено актами внедрения.

Апробация работы. Основные результаты диссертационной работы докладывались и обсуждались на следующих конференциях: на региональной студенческой научной конференции «Проектирование и обеспечение безопасности информационно-телекоммуникационных систем» (Воронеж, 2000); региональной конференции молодых учёных «Проблемы передачи, обработки и защиты информации в технических, биологических и социальных системах» (Воронеж, 2003); региональной конференции молодёжи «ЮниорИнфоСофети» (Воронеж, 2005),

Публикации. По теме диссертации работы опубликовано 15 научных работ, в том числе 9 - в изданиях рекомендованных ВАК РФ.

В работах, опубликованных в соавторстве, лично автору принадлежит: метод ранжирования источников угроз информационной безопасности в

платежных системах расчётов на БК [5]. В работах [1,2,12] автором дана характеристика основных видов преступлений с использованием БК. В работе [3] проведён анализ возможных угроз ИБ в платёжных системах расчётов на БК. Лично автором в работе [4] рассмотрены основные требования, предъявляемые к средствам защиты информации в платёжных системах на банковских картах. В работах [6,15] автором описаны методики выявления мошеннических операций с БК. В работе [7} автором описаны алгоритмы управления рисками в платёжных системах на БК. В работе [10], автором рассмотрены методы конструктивного представления систем, которые могут быть применимы к исследованию платёжных систем на БК. В работе [8] лично автором предложен алгоритм выявления мошеннической операций на основе вероятностной оценки. В работах [11,13] автором рассмотрены основные угрозы ИБ в платёжных системах на банковских картах и риски, связанные с мошенническим использованием банковских карт.

Основные положения, выносимые на защиту.

1. Методология стохастического анализа в части нахождения рисков и защищенности систем по заданным статистическим данным ущерба, причиняемого МО с БК.

2. Алгоритмы выявления МО с БК по отдельным и группе признаков, включая риск - анализ операций с БК.

3. Формализованное описание алгоритмов оценки опасности операций с БК и алгоритмы организационно-правового управления рисками МО с БК.

Структура и объём работы. Диссертация состоит из введения, четырёх глав, заключения, списка литературы, включающего 72 наименования, и приложения на 2 страницах. Основной текст изложен на 105 страницах. Работа содержит 34 рисунка и 1 б таблиц.

ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ

Во введении обоснована актуальность темы диссертации, сформулированы цель и задачи исследования, приведены основные научные результаты, выносимые на защиту, н описана их новизна,

В первой главе проведён анализ особенностей технологического процесса выпуска и обслуживания банковских карт^ с точки зрения обеспечения ИБ. Предложена классификация (рис. 1) и характеристика основных операций с использованием БК. На" основе анализа особенностей технологии выпуска и обслуживания БК и характеристик операций с ними показана их недостаточная защищённость, что обуславливает возможность МО с БК.

Сформулировано определение мошенничеству с БК. Показано, что МО с БК целесообразно рассматривать с точки зрения выпускающего их банка и обслуживающего банка, и таким образом необходимо выделить две группы данных злоупотреблений. К первой группе относятся мошенничества, связанные с несанкционированным использованием БК эмитента (кража карт,, подделка карт, кража идентификаторов держателя карты и т.п.). Ко второй

4

группе относятся мошенничества, инициатором которых стало торговое предприятие (дублирование операций с БК; «вспыхивающие» торговые точки, несанкционированное копирование магнитной полосы БК, тестирование счйта, мошенничества с использованием банкоматов). Дана характеристика подобным злоупотреблениям и описаны возможные сценарии их реализации.

Рис. I. Классификация мошенничеств с БК

Исследования, реализованные в первой главе, позволили автору конкретизировать задачи работы.

Во второй главе предложено описание методического подхода к оценке : риска в платёжных системах на банковских картах, связанных с МО.

Сформулирована методика оценки риска возникновения ущерба от мошеннического использования БК, основанная на выявлении функции распределения Р(х) случайной величины (СВ) £ значения ущерба, проверке гипотезы о соответствии Р(х) тому или иному закону распределения случайной

величины, расчёта на соответствующих интервалах интегральных и усреднённых значений рисков и элементарного значения риска.

Теоретическое распределение СВ £ ущерба от МО с БК устанавливается путём анализа генеральной совокупности (т.е. всех допустимо возможных) значений ущерба. Для определения закона распределения случайной величины £ используется статистический метод, суть которого заключается в том, что по выборке ограниченного объема п, т.е. по некоторой части генеральной совокупности, высказывается обоснованное суждение об ее свойствах в целом. Подобное суждение может быть получено путей построения эмпирических (выборочных) аналогов вероятностных характеристик исследуемой величины, иначе говоря, путем оценивания параметров (характеристик) генеральной совокупности с помощью некоторых подходящих функций от результатов наблюдений - оценок. Далее описана процедура выдвижения гипотезы о законе распределения СВ ущерба от МО с БК и её проверки с помощью критерия согласия z2 Пирсона, который позволяет проверял, такие гипотезы как для дискретных, так и для непрерывных случайных величии.

Предложены вероятностные подходы к оценке риска. Определив закон распределения ущерба от МО с БК, можно приступить к оценке риска, связанного с данными злоупотреблениями. Так как риск есть сочетание вероятности возникновения ущерба и тяжести этого ущерба, рассмотрены следующие выражения для оценки риска (1-4):

Fjto»(*>-*-/f(*)-*. О)

где х - величина предполагаемого ущерба; к ~ const - коэффициент,

1

необходимый для выполнения условия нормировки: f/j^ (*)<& = I; f4(x) —

о

плотность распределения вероятности нормированной случайной величины ущерба.

fmk=x-ft{x)t (2)

где х - величина предполагаемого ущерба; /¡(х) - плотность вероятности

ущерба. Здесь в общем виде найти плотность вероятности риска удастся не всегда, так как для этого необходимо найти функцию обратную /¿(*), то есть выразить х через , что не всегда возможно. Однако можно вычислить начальные моменты любого порядка, а значит и все остальные параметры случайной величины риска.

= (3)

а

здесь риск выражается через плотность распределения.

6

о

где л - величина предполагаемого ущерба; /¡(О - плотность распределения вероятности случайной величины ущерба. Здесь также не всегда в общем виде удастся выразить плотность вероятности риска, так как не всегда возможно найти функцию обратную к /, (О. Однако при этом возможно подсчитать начальные (а через них выразить и центральные) моменты риска.

Показано, что на практике вычисление такого вида рисков МО с БК может быть достаточно трудоёмкой задачей вследствие сложного вида функции плотности распределения ущерба. Поэтому предложено изначально применять метод дискретизации плотности распределения ущерба (для непрерывных распределений; для дискретных распределений — дискретизация функции распределения ущерба), для чего сначала в общем случае необходимо провести процесс нормировки. При нормировании каким-либо путём (экспертным, с помощью задания квантили или др.) определяется значение ущерба *т1К, при котором выполняются следующие условия:

1) такой лс^ или больший ущерб недопустимы для платёжной системы;

2) вероятность превышения ущербом значения очень мала.

Полученную нормированную плотность (функцию) распределения

дискретизируем, разделяя её на и дискрет. Таким образом, осуществляется переход от вычисления интегралов при оценке риска к интегральной сумме, что значительно упрощает процедуру выявления основных характеристик риска МО с БК как случайной величины.

В третьей главе, используя методику оценки риска и защищённости, по выборочным данным значений ущерба от МО с БК, приведённой во второй главе, проведён риск-анализ. По полученным выборочным данным построена гистограмма плотности распределения СВ ущерба (рис. 2).

Установлено, что с величиной ошибки 0,05 мы можем считать величину ущерба МО с БК логнормальной случайной величиной, имеющей соответственно плотность распределения вида:

0,при*<0

I -й^е . (5)

" ,при

,42лхсг

где а - 8,258158 и &г =0,526699-параметры данного распределения.

Исходя из этого были получены аналитические выражения для оценки риска и защищённости платёжной системы на БК от МО. В частности, вероятность непревышения ущерба заданной величины;

(б)

где Фа1 (г) - функция распределения стандартного нормального распределения.

Аналогичным образом определена вероятность превышения ущерба заданной величины :

Вероятность попадания случайной величины ущерба в интервал определена следующим образом:

Объем мошенничества (тыс.руб.)

Рис. 2. Плотность эмпирической функции распределения случайной величины ущерба

Получены выражения для расчёта математического ожидания ущерба па определённых интервалах;

т

(10) . (п)

Получены выражения для оценки интегрального риска на соответствующих интервалах:

.[Цйр).«^)}

(12)

(13)

(14)

Рассчитав значения интегральных рисков на соответствующих интервалах, можно получить выражения для определения защищённости Е рассматриваемой платёжной системы на БК. Обозначим ЛФ{х,) = Фол (х,) - Фй] (хм), тогда:

1

■ -ф4 -—т-Н-'

-к

(17)

Получены выражения для вычисления усреднённого риска:

= (18)

(19)

* > = [1" Фо.> • (20)

Получены выражения дня вычисления элементарного риска (21) и защищённости платежной системы на БК (22), определяемые на основе дискретизации плотности распределения с помощью алгоритма, предложенного во второй главе:

Ы" « (22)

где п - число дискретов, к - порядковый номер дискрета.

Аналогичные выражения могут быть получены н для отдельных признаков МО в том случае, если имеется соответствующая статистика МО по каждому из признаков.

В четвёртой главе описывается разработанная методика выявления МО с БК, предложены алгоритмы организационно-правового управления рисками

МО с БК, включая схемы консолидации банковского сообщества в части информационного обмена и актуализации статистики данного вида правонару шений.

Суть методики выявления МО с БК заключается в представлении операций с БК определённым набором характеристик, которые можно представить в виде вектора Х^*,,;^,где -значение 1-ой компоненты вектора. Для каждого л, назначается весовой коэффициент , который определяет активизацию признака х, при принятии решения о том, что активность карты является мошеннической. На основе этого определяется коэффициент опасности мошеннической активности карты

К = кхИ1 +к2к2 +...+кк1, причем (23)

<24>

где А,- это множество значений 1-го параметра, характерного для МО, V индикатор множества А,. При этом определение коэффициента опасности платежной операции реализовано с помощью алгоритма, представленного на рис. 3. Здесь функции активизации (24) по признакам опасности МО по данным мониторинга запускают расчет интегрального коэффициента опасности (23). Базу данных формируют эксперты с учетом актуального на данный момент набора признаков МО. Экспертные оценки используются и при определении

оценок п

Описан способ вероятностной оценки опасности операций с банковской картой в случаях, когда имеется некоторая статистика об имевших место МО и их характеристиках. Дискретные распределения вероятностей по значению

признаков .....служат основой для активизации (24), которая

происходит При условии превышения порогов безопасности Рм, по каждому из признаков дЭто сигнал об опасности проведения МО с БК, и формально он описывается неравенством:

, ^ = (25)

Данное неравенство служит причиной для вычисления интегральной вероятности совмещенных и независимых событий (26).

ВД = ПР<*(о). (26)

Выражение (20) справедливо при некоррелированности компонентов х/ вектора X, по крайней мере в данной операции Х0- {хт,...,хю,„.х1я}. Превышение порогового значения вероятности Р(Ха}>Ри служит основой дня принятия управленческих решений по противодействию МО с БК.

Алгоритм вышеуказанного выявления МО с БК проиллюстрирован на рис. 4.

Рис. 4. Структурная схема алгоритма выявления МО с БК на основе вероятностных оценок

Описана методология выявления МО в случае, когда имеется статистика совместных проявлений нескольких признаков МО. Суть ей заключается в том, что для существующего распределения вероятностей наступления ущерба и при проявлении к из множества признаков Л;

рк(и),АксА,\А\=п. <27)

определяется распределение вероятности при совмещении событий:

с*

л.| I

Последнее выражение далее подлежит риск — анализу, т.е. сравнению с допустимым уровнем, служащим основой для принятия решения о факте регистрации МО (29) на множестве существенных значений ущерба^.

и Р(и) » (и) £ . (29)

ИС1/е

Аналогичный риск - анализ можно провести при других (в т.ч. выборочных) статистических данных о проявлении признаков МО.

Разработаны процедуры противодействия МО с БК, инициируемые рассмотренными методиками их выявления. Алгоритм выполнения данных процедур иллюстрирует рис. 5. Он описывает обобщенно структуру противодейств ия,

Рнс. 5. Структурная схема алгоритма управления рисками МО с БК

При этом критерием принятия решения при противодействии остается результат риск - анализа, сравниваемый с неким эталоном. Рисковый режим обеспечения безопасности платежной системы на БК фактически заложен во всех процедурах оценки и сопоставления для рисков общественной опасности, реализуемых злоумышленниками МО, его структурная схема представлена на рис. б.

Предложена технология противодействия МО с БК в общегосударственном масштабе. Показано, что насущным вопросом скоординированы ости этой борьбы является наличие актуализируемой базы данных МО на межбанковском уровне (не каждый банк способен позволить себе иметь серьезную аналитику по данному вопросу).

Рис. б. Структурная схема рискового режима развития платежной системы расчетов на БК.

ОСНОВНЫЕ РЕЗУЛЬТАТЫ РАБОТЫ

1. Исследованы основные способы мошеннического использования БК, даны характеристики данным злоупотреблениям, приведена их классификация и описаны сценарии реализации подобных правонарушений.

2. Развита и адаптирована методология стохастического анализа в части нахождения рисков н защищённости систем по заданным статистическим значениям ущерба для платёжных систем (ПС), причиняемого мошенническими операциями (МО) с банковскими картами (БК). Получены аналитические выражения для риска и защищённости платёжных систем с БК в самом общем виде, которые могут быть адаптированы для различных одиночных признаков МО и их групп.

3. Разработаны алгоритмы выявления МО с БК по отдельным признакам и группе признаков, включая риск-анализ операций с БК. Выделены основные характеристики операций с БК, при помощи которых формируются признаки МО, описаны алгоритмы оценки опасности операции с БК и принятия решения о том, что она является мошеннической.

4. Предложены алгоритмы организационно-правового управления рисками МО с БК, включая схемы консолидации банковского сообщества в части информационного обмена и актуализации статистики данного вида

. правонарушений, разработаны алгоритмы принятия управленческих решений по противодействию МО с БК, использующие результаты риск - анализа.

Основные результаты диссертации опубликованы в следующих работая;

Публикации в изданиях, рекомендованных ВАК РФ

1. Остапенко А. Г. Характеристика основных видов преступлений с использованием банковских пластиковых карт / А. Г, Остапенко, Р. В. Батищев, А. П. Пархоменко // Информация и безопасность: регион, науч.-техн. журнал. Воронеж. 2004. Вып. I. С. 46-50.

2. Батищев Р. В. Анализ роста числа преступлений, связанных с использованием банковских пластиковых карт, и причинённого ими ущерба / Р. В. Батищев, А. П. Пархоменко, А. Г. Остапенко // Информация и безопасность: регион, науч.-техн. журнал. Воронеж. 2004. Вып. 1. С. 143-144.

3. Батищев Р. В. Анализ возможных угроз ИБ в платежных системах расчётов с помощью банковских карт / Р. В. Батищев, А. П. Пархоменко, Р. М. Чекалин // Информация и безопасность: регион, науч.-техк. журнал. Воронеж. 2004. Вып. 2. С. 63-65

4. Батищев Р. В. К вопросу о критериях и требованиях, предъявляемых к криптографическим средствам защиты банковской информации ! Р. В. Батищев, А. П. Пархоменко, Р.М, Чекалин // Информация и безопасность: регион, науч.-техн. журнал. Воронеж. 2004. Вып. 1. С. 96-99.

5. Воробьёва Е. И. Ранжировние источников угроз информационной безопасности в платёжных системах на пластиковых картах / Е. И. Воробьёва, Л. В. Воробьёва, А. П. Пархоменко // Информация и безопасность: регион, науч.-техн. журнал. Воронеж. 2003, Вып. 1. С. 78-84.

6. Пархоменко А. П. Использование механизма ассоциативной логики и нейронных сетей для выявления мошеннических транзакций / А. П. Пархоменко, Р. В. Батищев, Е. Д. Фёдоров // Информация и безопасность: регион, науч.-техн. журнал, Воронеж. 2005. Вып. 1. С. 108-115.

7. Пархоменко А. П. Анализ современных подходов к предупреждению мошеннических операций с банковскими картами в системах Интернет-эквайринга / А, П. Пархоменко, Р. В. Батищев, Е. Д. Фёдоров // Информация и безопасность: регион, науч.-техн. журнал, Воронеж. 2005. Вып. 1. С, 115-122,

8. Пархоменко А.П. Выявление мошеннических операций с банковскими картами на основе вероятностной оценки / А. П. Пархоменко, В. Н. Асеев // Информация и безопасность: регион, науч.-техн. журнал. Воронеж, 2006. Вып. 2, С. 98-103.

9. Пархоменко А. П. Алгоритмы управления рисками мошеннических операций с банковскими картами в общегосударственном масштабе / А. П. Пархоменко // Информация и безопасность: регион, науч.-техн. журнал. Воронеж. 2006. Вып. 2. С. 110-115.

Статьи и материалы конференций:

Ю.Пархоменко А. П. Методы конструктивного представления систем / А. П. Пархоменко, П, Г. Крюков, А. Н, Лукьянов // Проектирование и обеспечение безопасности информационно-телекоммуникационных систем: сб. материалов регион, студенческой науч. конф. Воронеж: ВГТУ, 2000. С, 115.

П.Пархоменко А. П. К вопросу об источниках угроз в платёжных системах на банковских картах / А. П. Пархоменко, В. И. Воробьёва, JI. В. Воробьёва // Проблемы передачи и защиты информации в технических, биологических и социальных системах: сб. материалов регион, конф. молодых учёных. Воронеж: ВГТУ, 2003. С. 184.

12.Пархоменко А. П. Анализ преступлений в сфере оборота банковских пластиковых карт / А. П, Пархоменко, Ю. В. Кравченко, Р. В. Батищев И Проблемы передачи и защиты информации в технических, биологических и социальных системах: сб. материалов регион, конф. молодых учёных. Воронеж: ВГТУ, 2003. С. 189.

13.Пархоменко А. П. Анализ рисков МО с использованием БК I А. П. Пархоменко, А. В. Шинкаренко, Р. В. Батищев // ЮниорИнфоСофети: сб. материалов регион. науч. конф. Воронеж: ВГТУ, 2005, С. 186,

14.Пархоменко А. П. Предупреждение мошеннических операций с банковскими картами / А. П. Пархоменко, Д. С. Каледин, Р. В. Батищев // ЮниорИнфоСофети: сб. материалов регион, науч. конф, Воронеж: ВГТУ, 2005. С. 187.

15.Пархоменко А. П. К вопросу о задаче выявления мошеннических операций с банковскими картами / А. П. Пархоменко, С. Н. Брашн, Р. В. Батищев И ЮниорИнфоСофети: сб. материалов регион, науч. конф. Воронеж: ВГТУ, 2005, С. 187.

Подписано в печать 16,11.2006,

Формат 60 х 84/16. Бумага для множительных аппаратов. Усл. печл. 1,0 Тираж 85 экз. Заказ №¿¥9 ГОУВПО «Воронежский государственный технический университет» 394026 Воронеж, Московский просп., 14

Введение.

ГЛАВА 1. АНАЛИЗ ПРОБЛЕМЫ ЗАЩИТЫ ПЛАТЁЖНЫХ СИСТЕМ РАСЧЁТОВ НА БАНКОВСКИХ КАРТАХ.

1.1. Платёжные системы на банковских картах как объект защиты.

1.2. Мошенничества в платёжных системах на БК.

1.3. Характеристика основных способов мошенничества с БК.

1.4. Постановка задач исследования.

ГЛАВА 2. МЕТОДИЧЕСКИЙ ПОДХОД К ОЦЕНКЕ РИСКА МОШЕННИЧЕСКИХ ОПЕРАЦИЙ С БАНКОВСКИМИ КАРТАМИ.

2.1 Методика выявления закона распределения случайной величины ущерба

2.2 Нормирование и дискретизация ущерба как случайной величины.

2.3 Методика оценки интегрального и элементарного риска и защищённости системы.

2.4. Выводы по второй главе.

ГЛАВА 3. РИСК-АНАЛИЗ ОПЕРАЦИЙ С БАНКОВСКИМИ КАРТАМИ.

3.1 Выявление случайной величины ущерба, причинённого мошенническими операциями с БК.

3.2 Расчёт интегрального риска, элементарного риска и защищённости платёжных систем на БК.

3.3. Выводы по третьей главе.

ГЛАВА 4. МЕТОДИЧЕСКОЕ ОБЕСПЕЧЕНИЕ УПРАВЛЕНИЯ РИСКАМИ В

ПЛАТЁЖНЫХ СИСТЕМАХ РАСЧЁТОВ НА БАНКОВСКИХ КАРТАХ.

4.1. Мониторинг мошеннических операций с БК.

4.2. Выявление мошеннических операций на основе данных мониторинга

4.3. Управление противодействием мошенническим операциям с банковскими картами.

4.4. Выводы по четвертой главе.

Актуальность темы. За последнее десятилетие в России наметилась устойчивая тенденция развития систем безналичных платежей с использованием информационных технологий. Особое место среди них занимают платёжные системы расчётов на банковских картах (БК). На уровне региональной и федеральной власти вводятся программы перевода пенсионных и социальных выплат на данный платёжный инструмент. Предприятия и организации, как государственные, так и частные, участвуют в проектах, целью которых является перевод заработной платы сотрудников на карточные счета в банке. Неуклонный рост числа держателей БК и пунктов обслуживания операций с данным платёжным инструментом, развитие платёжных систем на БК, как элемента банковской информационной системы страны, несомненно, является положительным фактором развития современного российского общества. Но, к сожалению, глубокое внедрение платёжных систем расчётов на БК в инфраструктуру банковской информационной системы страны привело к возникновению новых видов преступлений в сфере высоких технологий -мошенничеству с использованием БК. Ежегодно увеличивается число случаев злоупотреблений, связанных с мошенническим использованием БК и ущерб от данных преступлений исчисляется миллиардами рублей. Помимо количественного увеличения объёмов мошенничества в сфере оборота БК, подобные злоупотребления изменяются и качественно: злоумышленники постоянно ищут новые возможности для реализации данного вида преступлений, обладают высокой гибкостью и оперативностью. Кроме прямых финансовых потерь, кредитно-финансовые учреждения несут косвенные потери, связанные с уходом клиентов, уменьшением оборотов, ударом по репутации.

В Доктрине информационной безопасности (ИБ) Российской Федерации указано, что "национальная безопасность Российской Федерации существенным образом зависит от обеспечения информационной безопасности, и в ходе развития технического прогресса эта зависимость будет возрастать".

Одним из основных направлений обеспечения информационной безопасности является повышение безопасности информационных систем в банковской и кредитно-финансовой сфере.

Появление и осознание проблем ИБ в банковской и кредитно-финансовой сфере, а именно в платёжных системах расчётов на БК, приводит к необходимости измерения величины риска, связанного с возникновением ущерба. Только на основе оценки риска можно определить необходимую степень защиты, выбрать стратегию развития информационной структуры платёжной системы и поддерживать на должном уровне её безопасность. Кроме того, помимо задачи оценки риска возникает необходимость в управлении риском. Понятие «управление рисками» появилось сравнительно недавно и сегодня вызывает постоянный интерес специалистов в области обеспечения непрерывности бизнеса и сетевой безопасности. В настоящее время управление информационными рисками представляет собой одно из наиболее актуальных и динамично развивающихся направлений стратегического и оперативного менеджмента в области защиты информации (ЗИ). Однако до настоящего момента отсутствует методическое обеспечение для количественной оценки рисков, связанных с ущербом от мошеннических операций с банковскими картами, не проработаны методы управления такими рисками, что, несомненно, является краеугольным камнем в дальнейшем развитии индустрии расчётов на банковских картах и всей кредитно-финансовой системы страны в целом и требует большего внимания со стороны специалистов в области ИБ.

Учитывая вышесказанное, вопросы разработки методического обеспечения оценки и управления рисками в ПС на БК являются чрезвычайно актуальными.

Работа выполнена в соответствии с одним из основных научных направлений Международного института компьютерных технологий «Обработка и защита информации».

Объект исследования. Типовые платёжные системы на банковских картах с магнитной полосой, подверженные угрозам мошеннических операций (МО).

Предмет исследования. Методическое обеспечение оценки и управления рисками в платёжных системах на банковских картах.

Цель и задачи исследования. Создание формализованного методического обеспечения численной оценки и управления рисками в платёжных системах на банковских картах.

Основные задачи. Для достижения поставленной цели в работе решались следующие задачи:

1. Анализ способов мошеннического использования БК и их характеристик.

2. Дальнейшее развитие и адаптация методологии стохастического анализа в части нахождения рисков и защищенности систем по заданным статистическим данным ущерба, причиняемого МО с БК.

3. Разработка методик аналитической и численной оценки вероятностей наступления ущербов различной величины применительно к МО с БК.

4. Разработка вероятностных алгоритмов выявления МО с БК по группе независимых признаков и их комбинациям, включая принятие решений по организационно-правовому воздействию.

Методы исследования. В работе использованы методы теории вероятностей и математической статистики, теории риска, теории системного анализа и управления, теории принятия решений.

Обоснованность научных положений, выводов, сформулированных в диссертации, обеспечивается: корректным применением перечисленных методов исследований; экспертизой результатов при их публикации в печатных изданиях.

Научная новизна. В диссертационной работе получены следующие результаты, характеризующиеся научной новизной:

1. Методология стохастического анализа отличается от аналогов тем, что она адаптирована к нахождению рисков в платёжных системах на банковских картах, связанных с ущёрбом от МО.

2. Впервые разработаны алгоритмы выявления МО с БК по отдельным признакам и группе признаков, включая риск-анализ операций с БК, отличительной особенностью которых является формализованное описание алгоритмов оценки опасности операции с БК и принятия решения о том, что она является мошеннической.

3. Предложены механизмы организационно-правового управления рисками МО с БК, в которых впервые представлены алгоритмы принятия управленческих решений по противодействию МО с БК, отличительной особенностью которых является использование результатов риск - анализа операций с БК.

Практическая значимость полученных результатов. Научные выводы, сделанные в работе по оценке рисков в платёжных системах на БК, разработанные алгоритмы для управлениями рисками позволяют эффективно их использовать для обеспечения безопасности в платёжных системах расчётов на банковских картах. Разработанные методики позволяют не просто оценивать риск мошеннических операций с банковскими картами, но и принимать решение о том, является ли операция мошеннической, управлять противодействием подобным злоупотреблениям.

Кроме того, полученные результаты используются в Международном институте компьютерных технологий в ходе курсового и дипломного проектирования на кафедре «Системы информационной безопасности» студентами специальности 075300 «Организация и технология защиты информации», а также при выполнении ими индивидуальных заданий по дисциплине «Компьютерные преступления», что подтверждено актами внедрения в учебный процесс.

Научные результаты, полученные в диссертационной работе, были внедрены в ОАО «Воронежпромбанк», ООО «Рукард - Воронеж», что подтверждено актами внедрения.

Апробация работы. Основные результаты диссертационной работы докладывались и обсуждались на следующих конференциях: на региональной студенческой научной конференции «Проектирование и обеспечение безопасности информационно-телекоммуникационных систем» (Воронеж, 2000); региональной конференции молодых учёных «Проблемы передачи, обработки и защиты информации в технических, биологических и социальных системах» (Воронеж, 2003); региональной конференции молодёжи «ЮниорИнфоСофети» (Воронеж, 2005).

Публикации. По теме диссертации работы опубликовано 15 научных работ, в том числе 9 - в изданиях рекомендованных ВАК РФ.

В работах, опубликованных в соавторстве, лично автору принадлежит: метод ранжирования источников угроз информационной безопасности в платёжных системах расчётов на БК [5]. В работах [1,2,12] автором дана характеристика основных видов преступлений с использованием БК. В работе [3] проведён анализ возможных угроз ИБ в платёжных системах расчётов на БК. Лично автором в работе [4] рассмотрены основные требования, предъявляемые к средствам защиты информации в платёжных системах на банковских картах. В работах [6,15] автором описаны методики выявления мошеннических операций с БК. В работе [7] автором описаны алгоритмы управления рисками в платёжных системах на БК. В работе [10], автором рассмотрены методы конструктивного представления систем, которые могут быть применимы к исследованию платёжных систем на БК. В работе [8] лично автором предложен алгоритм выявления мошеннической операций на основе вероятностной оценки. В работах [11,13] автором рассмотрены основные угрозы ИБ в платёжных системах на банковских картах и риски, связанные с мошенническим использованием банковских карт.

Основные положения, выносимые на защиту.

1. Методология стохастического анализа в части нахождения рисков и защищенности систем по заданным статистическим данным ущерба, причиняемого МО с БК.

2. Алгоритмы выявления МО с БК по отдельным и группе признаков, включая риск - анализ операций с БК.

3. Формализованное описание алгоритмов оценки опасности операций с БК и алгоритмы организационно-правового управления рисками МО с БК.

Структура и объём работы. Диссертация состоит из введения, четырёх глав, заключения, списка литературы, включающего 72 наименования, и приложения на 2 страницах. Основной текст изложен на 105 страницах. Работа содержит 34 рисунка и 16 таблиц.

4.4. Выводы по четвертой главе

1. Обобщение данных мониторинга мошеннических операций с БК свидетельствует о наличии ряда признаков, с помощью которых представляется возможным своевременно выявлять и пресекать преступную деятельность данного профиля.

2. С использованием теории вероятностей, предложены алгоритмы выявления МО с БК по отдельным и группе признаков, включая риск - анализ операций с БК.

3. Предложены алгоритмы организационно-правового управления рисками МО с БК, включая схемы консолидации банковского сообщества в части информационного обмена и актуализации статистики данного вида правонарушений.

Траектория устойчивого развития платежной системы расчетов на БК

Рис. 4.6. Структурная схема управления безопасностью платежной системы расчетов на БК

Рис. 4.7. Структурная схема рискового режима развития платежной системы расчетов на БК

ЗАКЛЮЧЕНИЕ

В работе получены следующие основные результаты:

1. Развита и адаптирована методология стохастического анализа в части нахождения рисков и защищённости систем по заданным статистическим данным значений ущерба для платёжных систем (ПС), причиняемого мошенническими операциями (МО) с банковскими картами (БК).

2. Получены аналитические выражения для риска и защищённости платёжных систем с БК в самом общем виде, которые могут быть адаптированы для различных одиночных признаков МО и их групп.

3. Разработаны алгоритмы выявления МО с БК по отдельным и группе признаков, включая риск-анализ операций с БК. Выделены основные характеристики операций с БК, при помощи которых формируются признаки МО. Формализованным научным языком описаны алгоритмы оценки опасности операции с БК и принятия решения о том, что она является мошеннической.

4. Предложены алгоритмы организационно-правового управления рисками МО с БК, включая схемы консолидации банковского сообщества в части информационного обмена и актуализации статистики данного вида правонарушений.

5. Разработаны алгоритмы принятия управленческих решений по противодействию МО с БК, используя результаты риск-анализа.

1. А.А.Андреев, А.Г.Морозов, А.И.Логинов и др. Пластиковые карты. 2-ое издание, переработанное и дополненное - М.: Концерн «Банковский Деловой Центр», 1998. -312с.;20 с. вкл.

2. Беликов В., Быстров Л., Невежин В., Спесивцев А. Электронные деньги: накопление, использование, хранение и безопасность. М., 1995. -96с.

3. Ванин А., Карл Сумманец. Введение в телебанкинг/Банковские технологии, 2000,№ 7-8.

4. Вертузаев М.С., Кондратьев Я.Ю. Способы совершения преступлений с использованием банковских платёжных карт. Материалы Центра исследования компьютерных преступлений.

5. Готовчиков И.Ф. Математические методы оценки банковских рисков.//Бизнес и банки, 2001, №1-2, январь. С.4.

6. Ивасенко А.Г. Пластиковые карточки: экономическая сущность, проблемы и перспективы развития: Учебное пособие. М.: Вузовская книга, 1997.-104с.

7. Кобелев Н.Б. Практика применения экономико-математических методов и моделей. Учебно-практическое пособие. М.: ЗАО «Финстатинформ», 200.-246с.

8. Криминальная экономика и экономическая преступность. Преступления с использованием банковских карт. Материалы электронного учебника «Теневая экономика и экономическая преступность»http://newasp. omskreg. ru

9. Тронин Ю.В. Можно ли управлять рисками?//Банковские технологии, 2000, №3.

10. З.Шишкин Е.В., Чхартишвили А.Г. Математические методы и модели в управлении: Учебное пособие. М.: Дело, 2000. - 440с. 14,Эллис Б. Отмывание денег и новые технологии. Борьба с карточным мошенничеством. /ПЛАС: платежи, системы и карточки, 2002, №6-7. С.39

11. Магнус Я.Р., Катышев П.К., Пересецкий А.А. Эконометрика. Начальный курс: Учеб.-6-е изд., перераб и доп. М.:Дело,2004. - 576 с.

12. Айвазян С.А., Мхитарян B.C. Прикладная статистика и основы эконометрики. Учебник для вузов. М.:ЮНИТИ, 1998. - 1022 с.

13. Ивченко Г.И., Медведев Ю.И. Математическая статистика: Учеб. Пособие для втузов. 2-е изд., доп. - М.: Высш.шк., 1992. - 304 е.: ил.

14. Гнеденко Б.В., Курс теории вероятностей: Учебник Изд.б-е, перераб. и доп. - М.:Наука. Гл. ред. физ.-мат. лит., 1988. - 448 с.

15. Г.А. Соколов, И.М. Гладких. Математическая статистика. Учебник для вузов. М.: Издательство «Экзамен», 2004. - 432 с.

16. Моделирование информационных операций и атак в сфере государственного и муниципального управления /В.Г. Кулаков, В.Г. Кобяшев, А.Б. Андреев, А.В. Заряев, В.А. Минаев, С.В. Скрыль,

17. А.В. Хаустович, В.В. Летуновский, В.И. Белоножкин, Г.А. Остапенко; Под редакцией В.И. Борисова. Воронеж: ВИ МВД России, 2004. -144 с.

18. Risk and reward. VISA CEMEA 2000.

19. Risk Management. Visa International. Sertificate in Bank Card Management. 2000

20. Strategies for Issuing. Managing risk in the 21th century. VISA CEMEA, 2000.

21. Aquier Fraud Management Best Practice. Visa international, January 2000 25.Issuer Fraud Management Best Practice. Visa international, January 2000. 26. A guide to monitoring threshold. Visa International. 2003.

22. Материалы семинара «Особенности бизнеса с платёжными картами». НОУ «Учебный центр Банкир.Ру», Май 2005.2828. Материалы к семинару «Безопасность при работе с банковскими кратами». НОУ «Учебный центр Банкир.Ру», Октябрь 2005.

23. А.Г. Остапенко, Р.В. Батищев, А.П. Пархоменко. Характеристика основных видов преступлений с использованием банковских пластиковых карт//Региональный научный вестник «Информация и безопасность».Вып. 1.-Воронеж: ВГТУ,2004.с. 46-50.

24. Р.В. Батищев, А.П. Пархоменко; P.M. Чекалин; Анализ возможных угроз ИБ в платёжных системах расчётов с помощью банковских карт//Региональный научный вестник «Информация и безопасность».Вып.2.-Воронеж, ВГТУ,2004.с. 63-65

25. Р.В. Батищев, А.П. Пархоменко; P.M. Чекалин; К вопросу о критериях и требованиях, предъявляемых к криптографическим средствам защиты банковской информации//Региональный научный вестник «Информация и безопасность».Вып.1.-Воронеж, ВГТУ, 2004.С. 96-99.

26. Е.И. Воробьёва, JI.B. Воробьёва, А.П. Пархоменко Ранжировние источников угроз информационной безопасности в платёжных системах на пластиковых картах. //Региональный научный вестник «Информация и безопасность».Вып.1.-Воронеж, ВГТУ,2003. с. 78-84.

27. А.П.Пархоменко, Р.В.Батищев, Е.Д. Фёдоров. Использование механизма ассоциативной логики и нейронных сетей для выявления мошеннических транзакций.//Региональный научный вестник «Информация и безопасность».Вып. 1.-Воронеж, ВГТУ,2005. с. 108-115.

28. Тонева Е. Аппроксимация распределений погрешности средств измерений // Измерительная техника, 1981. № 6. С. 15-16.;

29. Фукунага К. Введение в статистическую теорию распознавания образов. Пер. С англ. -М.: Наука. Главная редакция физико-математической литературы, 1979, 368 стр.

30. Нейлор К. Как построить свою экспертную ситсему: Пер. с англ.-М. : Энергоатомиздат, 1991. -286 с. ил.

31. Патрик Э. Основы теории распознавания образов: Пер с англ./Под ред. Б.Р. Левина. М.: Сов. Радио, 1980-408с, ил.

32. К.Асаи, Д.Ватада, С. Иваи и др. Прикладные нечёткие системы: Пер. с япон. -М.: Мир, 1993 е., ил.

33. Дж. Ту, Р. Гонсалес. Принципы распознавания образов: Пер с англ.: М. : "Мир", 1978.-411 с. ил.

34. Хованов Н.В. Математические модели риска и неопределённости. СПб. Литер, 2000.

35. Соложенцев Е.Д., Карасев В.В. Логико-вероятностные модели риска в бизнесе с группами несовместных событий/УЭкономика и математические методы, 2003. №1. с. 90-105.

36. Владимиров В.А., Воробьёв Ю.Л., Салов С.С. Управление риском. М. : Наука, 2000.

37. Альберт С., Венц Дж. Ульямс Т. Мошенничество. Луч света на тёмные стороны бизнеса/ Пер. с англ. СПб.: Питер, 1995.

38. Henly E.I., Kumamoto Н. Reliability engeneering and risk assessment. New York: Prentice-Hall, 1985.

39. Муха B.C. Статистические методы обработки данных: Лаб. практикум для студ. спец. 53 01 02 «Автоматизированные системы обработки информации» всех форм обучения / B.C. Муха, Т.В. Слуянова. Мн.: БГУИР,2004. - 98 с.

40. Недосекин А.О. Применение теории нечетких множеств в задачах управления финансами // Аудит и финансовый анализ, 2000 № 2.

41. Недосекин А.О. Применение теории нечетких множеств в задачах управления финансами // Аудит и финансовый анализ, 2000 № 2.

42. Новиков А.А. Уязвимость и информационная безопасность телекоммуникационных технологий: Учебное пособие для вузов. / А.А. Новиков, Г.Н. Устинов. М.: Радио и связь, 2003. - 296 с.

43. Новиков Ф.А. Дискретная математика для программистов. СПб: Питер, 2004.-368 с.

44. Новоселов А.А. Лекции для студентов КГУ по теории риска, 2000.

45. Новоселов А.А. Математическое моделирование финансовых рисков. Теория измерения. Новосибирск: Наука, 2001.52.0жегов С.И. Словарь русского языка. М.: Сов. Энциклопедия, 1970. -900с.

46. Остапенко О.А. Методология оценки риска и защищенности систем. //Информация и безопасность: Регион, науч.-техн. журнал. Воронеж. 2005. Вып. 2.-С. 28-32.

47. Петренко С.А. Управление информационными рисками: Экономически оправданная безопасность. / С.А. Петренко, С.В. Симонов. М. АйТи-Пресс, 2004.-381 с.

48. Петров Ю.П. Новые главы теории управления и компьютерных вычислений. СПб: БХВ - Петербург, 2004. - 192 с.

49. Поллард Дж. Справочник по вычислительным методам статистики. М.: Финансы и статистика, 1982.

50. Приходько АЛ. Словарь-справочник по информационной безопасности. -М.: СИНТЕГ, 2001.-124 с.

51. Программирование алгоритмов обработки данных. СПб: БХВ -Петербург, 2003.-192 с.

52. Проценко О.Д. Риск-менеджмент на российских предприятиях: проблемы и перспективы развития. М.: 2001.

53. Пустыльник Е.И. Статистические методы анализа и обработки наблюдений. М.: Наука, 1971.

54. Руководство по применению стандарта ИСО 9001:2000 при разработке программных средств. М: Стандарты и качество, 2002. - 104 с.

55. Садердинов А.А. Построение комплексных программно-технических проектов интегрированных систем организационного управления. / А.А. Садердинов, В.А. Трайнев. М: Маркетинг, 2001. -288 с.

56. Саульев В.К. Математическая обработка результатов наблюдений. М.: Изд-воМАИ, 1974.

57. Симонов С. Методология анализа рисков в информационных системах. //Конфидент, № 1,2001.

58. Симонов С. Анализ рисков, управление рисками. //Jet Info. Информационный бюллетень. № 1(68), 1999. С. 2-28.

59. Симонов С. Технологии и инструментарий для управления рисками. //Jet Info. № 2,2003.

60. Статьев В.Ю. Оценка информационных рисков в системах обработки служебной информации. М. 2004.

61. Степнов М.Н. Статистические методы обработки результатов механических испытаний. -М.: Машиностроение, 1985.

62. Голдовский И. М. Микропроцессорные карты стандарта EMV. -М.:Издательская группа «БДЦ-пресс», 2006. -544с.