автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Методика оценки рисков эмитента в платёжной системе банковских карт с использованием мониторинга транзакций

кандидата технических наук
Кузин, Максим Витальевич
город
Москва
год
2009
специальность ВАК РФ
05.13.19
Диссертация по информатике, вычислительной технике и управлению на тему «Методика оценки рисков эмитента в платёжной системе банковских карт с использованием мониторинга транзакций»

Автореферат диссертации по теме "Методика оценки рисков эмитента в платёжной системе банковских карт с использованием мониторинга транзакций"



На правах рукописи

Кузин Максим Витальевич

О б АВГ 2009

МЕТОДИКА ОЦЕНКИ РИСКОВ ЭМИТЕНТА В ПЛАТЁЖНОЙ СИСТЕМЕ БАНКОВСКИХ КАРТ С ИСПОЛЬЗОВАНИЕМ МОНИТОРИНГА ТРАНЗАКЦИЙ

Специальность: 05.13.19 - методы и системы защиты информации,

информационная безопасность

Автореферат

диссертации на соискание учёной степени кандидата технических наук

Автор:

Москва-2009

003475104

Работа выполнена в Московском инженерно-физическом институте (государственном университете)

Научный руководитель: кандидат технических наук,

доцент Скородумов Борис Иванович

Официальные оппоненты: доктор физико-математических наук,

профессор Крюковский Андрей Сергеевич

Ведущая организация:

кандидат технических наук Сердюк Виктор Александрович

ФГОУ ВПО "Южный федеральный университет" Технологический институт, г. Таганрог

Защита состоится 9 сентября 2009 г. в 15 часов 30 минут на заседании диссертационного совета ДМ 212.130.08 в Центре информационных технологий и систем органов исполнительной власти по адресу: 123557, Москва, Пресненский Вал, д. 19. Тел. для справок: +7 (495) 323-95-26, 324-84-98.

С диссертацией можно ознакомиться в библиотеке Московского инженерно-физического института (государственного университета).

Отзывы в двух экземплярах, заверенные печатью, просьба направлять по адресу: 115409, г. Москва, Каширское ш., д. 31, диссертационные советы МИФИ, тел. +7 (495) 323-95-26.

Автореферат разослан «IV» июля 2009 г.

Учёный секретарь диссертационного совета

Горбатов В.С.

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы. В последние годы во всем мире активно развиваются платёжные системы на основе банковских карт (БК). Удобство совершения платежей с использованием БК и экономия при переходе от наличных денег к безналичным, возможность предоставлять держателям БК дополнительные сервисы - все это и многое другое обусловили стремительное развитие данного рынка. На 1 апреля 2009 года в РФ количество эмитированных БК по данным ЦБ составило 121,757 млн., что на 2,3% больше, чем в начале года, и почти в 8 раз больше, чем в начале 2003 года. Число платёжных карт в мире, выпущенных крупнейшими Международными платёжными системами (МПС), с 2005 по 2008 гг. возросло на 25% и превысило 3 млрд.

Как инструмент доступа к счёту клиента в банке-эмитенте БК может быть скомпрометирована и использована злоумышленником для несанкционированного доступа к этому счёту, т.е. проведения мошеннической операции. Общие мировые потери от мошенничества в 2007 году в МПС Visa International и MasterCard Worldwide составили более 5,58 млрд. долл. США. В РФ официально не публикуется общедоступная статистика по мошенничеству с БК в различных платёжных системах, а также статистика правоохранительных органов по соответствующим противоправным деяниям. Потери от мошенничества в российском сегменте названных МПС, вычисляемые на основе предоставляемых банками-участниками данных по определённым типам мошеннических операций, за 2007 г. превысили 9 млн. долл. США. Следует отметить, что прирост объёма мошеннических операций по указанным МПС за 2007 г. составил 66%, в то время как общий рост объёма операций по БК в РФ - всего 45,7%.

Мошенничество по БК клиентов приводит к рискам банка-эмитента, связанным с финансовыми потерями и ухудшением репутации. Поэтому банк-эмитент в своей платёжной системе банковских карт (ПСБК) должен выработать и применять специальную политику информационной безопас-

ности, реализовать мероприятия по управлению рисками, внедрять методы и средства выявления мошенничества и противодействия ему.

В соответствии с законодательной и нормативной базой РФ устанавливаются определения и требования к рискам в области информационной безопасности. Отечественные стандарты и нормативные документы ЦБ выдвигают общие требования к менеджменту рисков. Однако эти документы не дают метрики оценки рисков, что является серьезной проблемой при применении требований на практике. Следует отметить, что в настоящее время Стандарт Банка России СТО БР ИББС-1.2-2007 определяет только качественную оценку риска. При отсутствии обязательных требований к метрикам рисков банкам предлагается осуществлять их выбор самостоятельно.

Обозначенные проблемы отмечаются также Советом Безопасности РФ в основных направлениях научных исследований в области обеспечения информационной безопасности, к которым относятся:

• проблемы выявления и пресечения преступлений, совершённых с использованием информационно-телекоммуникационных систем;

• исследование проблем обеспечения информационной безопасности платёжных систем на базе интеллектуальных карт.

Одним из средств защиты ПСБК от мошенничества для банка-эмитента является система мониторинга транзакций (СМТ) по банковским картам. Под транзакцией понимается единичный факт использования БК для приобретения товаров или услуг, получения наличных денежных средств или информации по счёту, следствием которого является дебетование или кредитование счёта клиента. СМТ предназначена для выявления мошеннических транзакций и реагирования на них в ПСБК банка-эмитента с целью уменьшения рисков. В настоящее время отсутствуют общепринятая количественная методика оценки рисков банка-эмитента, связанных с мошенничеством, в ПСБК, и классификация СМТ, необходимая для их сравнения и обоснованного выбора банком-эмитентом.

Целью диссертационной работы является защита ПСБК банка-эмитента от мошенничества с использованием СМТ на основе разработанной методики количественной оценки рисков.

Для достижения поставленной цели в диссертационной работе решаются следующие задачи:

• исследование проблем информационной безопасности в ПСБК при проведении транзакций с использованием БК;

• формализация для банка-эмитента задачи обеспечения безопасности операций с использованием БК;

• разработка методики количественной оценки рисков в ПСБК банка-эмитента, связанных с мошенничеством;

• разработка, внедрение и эксплуатация СМТ в ПСБК банка-эмитента для выявления мошенничества и оперативного реагирования с целью уменьшения рисков.

Основными методами исследований, используемыми в работе, являются методы теории вероятности и математической статистики, теории множеств, объектно-ориентированного анализа. Разработка СМТ осуществлена на основе методов объектно-ориентированных проектирования и программирования.

Научная новизна работы заключается в следующем:

• показано, что мошенничество с БК относится к операционному риску, величина которого может быть оценена количественно на основе истории операций по карте;

• предложена ЕШЗ-диаграмма базы данных (БД) для регистрации всех мошеннических операций в ПСБК банка-эмитента;

• разработана методика количественной оценки рисков по категориям мошенничества на основе созданной БД мошеннических операций в ПСБК банка-эмитента.

Практическую ценность представляют разработанная, внедренная и эксплуатируемая СМТ в ПСБК банка-эмитента на основе созданной методики количественной оценки рисков, и предложенная классификация СМТ в ПСБК по ряду критериев.

На защиту выносятся следующие основные результаты работы:

1. Автором разработана классификация СМТ в ПСБК.

2. Разработанная автором методика количественной оценки рисков банка-эмитента в ПСБК позволяет принимать обоснованные решения для противодействия мошенничеству с БК.

3. Автором разработана и внедрена СМТ для выявления и противодействия мошенничеству в ПСБК, служащая для уменьшения рисков банка-эмитента, оцениваемых количественно на основе созданной методики.

4. Автором разработан учебный курс по данной тематике, позволивший внедрить в учебный процесс освещение подходов к противодействию мошенничеству с БК.

Достоверность полученных результатов основывается на формальных выводах и заключениях, практике эксплуатации разработанной СМТ в ПСБК банка Газпромбанк (Открытое Акционерное Общество).

Использование результатов исследования. Основные результаты исследования применены в разработанной и внедрённой автором СМТ, используемой в Процессинговом Центре ООО "Газкардсервис" ПСБК банка Газпромбанк (Открытое Акционерное Общество). Результаты диссертационной работы внедрены в учебный процесс на факультете "Информационная безопасность" Московского инженерно-физического института (государственного университета), в Институте Банковского Дела Ассоциации Российских Банков. Результаты работы представляют практическую ценность для обеспечения безопасности ПСБК для банков-эмитентов.

Публикации и апробация работы. По теме диссертации опубликовано 13 печатных работ, в том числе 5 научных статей (из них 3 статьи в журналах из Перечня ВАК), 7 тезисов докладов на конференциях и 1 глава в

коллективной монографии. Результаты работы докладывались на Межвузовской конференции «Инновационное предпринимательство и управление знаниями» (Москва, 2006 г.), Всероссийской научно-практической конференции «Проблемы защиты информации в системе высшей школы» (Москва, 2007 - 2008 гг.), научно-практической конференции «Информационная безопасность - Юг России» (Таганрог, 2007 г.), Международной научной конференции «Цивилизация знаний: инновационный переход к обществу высоких технологий» (Москва, 2008 г.), практической конференции «Безопасность пластиковых карт. Обнаружение и предотвращение мошенничества» (Москва, 2008 г.).

Структура и объём работы. Работа состоит из введения, пяти глав, заключения, списка литературы, включающего 206 наименований и 3 приложения. Текст диссертации изложен на 141 странице, включая 25 рисунков и 12 таблиц.

СОДЕРЖАНИЕ РАБОТЫ

Во введении обосновывается актуальность темы диссертации, выделяются и формулируются цели и задачи исследования, описывается структурно-логическая схема диссертационного исследования.

В первой главе - "Анализ рисков эмитента в ПСБК" - исследуются методы и пути решения поставленной научной задачи. Рассматриваются платёжные системы на основе БК, мошенничество с БК и связанные с ним риски банка-эмитента.

В соответствии с законодательством РФ БК является видом платёжных карт как инструмент безналичных расчётов, предназначенный для совершения физическими лицами, в том числе уполномоченными юридическими лицами, операций с денежными средствами, находящимися у банка-эмитента. Под риском в соответствии с Федеральным законом "О техническом регулировании" №184-ФЗ понимается вероятность причинения вреда имуществу с учётом тяжести этого вреда.

Как инструмент доступа к счёту БК может быть скомпрометирована и использована злоумышленником для несанкционированного доступа к этому счёту, т.е. проведения мошеннической операции. Мошенничество в ПСБК определяется как операция с использованием БК или её реквизитов, не инициированная или не подтверждённая её держателем. В соответствии с общепринятой классификацией выделяются следующие виды мошенничества с БК: по утерянным или украденным картам, по неполученным картам, по поддельным картам, по операциям без присутствия карты, с использованием персональных данных держателя карты или информации по счёту, и иное.

Мировые потери от мошенничества в рамках крупнейших МПС Visa International и MasterCard Worldwide в 2007 году превысили 5,58 млрд. долл. США. По оценкам экспертов в 2009 году объём мошеннических операций в мире может составить 15,5 млрд. долл. США. В последнее время в мире происходят многочисленные хищения данных по БК, используемых при

проведении транзакций, что часто приводит к крупным потерям из-за последующих мошеннических операций, причём прямые потери вызывают вдвое большие косвенные затраты (например, ведение расследований и претензионной работы, внедрение методов и средств защиты).

В РФ рост объёмов публикуемых потерь от мошенничества опережает рост рынка БК. При этом статистика по мошенничеству с БК собирается платёжными системами на основе данных банков-участников, предоставляемых в рамках участия в программах по управлению рисками, и не включает все типы мошеннических операций, т.е. является неполной.

В соответствии с законодательной и нормативной базой РФ устанавливаются общие определения, требования к менеджменту риска в области информационной безопасности. Однако, проведённое автором исследование показывает, что отсутствует общепринятая, общедоступная методика количественной оценки рисков, поэтому банки вынуждены заниматься разработкой собственных методик.

Мошенничество с БК по определению относится к операционному риску. В работе показано, что этот риск может быть оценён количественно, поскольку мошенничество направлено на информационный актив (банковский счёт), ценность которого имеет стоимостное выражение. Основным способом выявления мошенничества в ПСБК является применение СМТ. Автором делается вывод о том, что СМТ является инструментом уменьшения рисков, связанных с проведением мошеннических операций по БК, и должна быть составной частью комплексного подхода к обеспечению безопасности ПСБК банка-эмитента. СМТ осуществляет анализ всех транзакций с использованием БК в ПСБК и позволяет принимать решения по подозрительным на предмет мошенничества операциям для уменьшения рисков банка-эмитента.

В связи с этим ставится задача разработки методики количественной оценки рисков банка-эмитента в ПСБК и использования СМТ для уменьшения рисков банка-эмитента в соответствии с методикой.

Вторая глава - "Задачи мониторинга транзакций в ПСБК" - посвящена задачам мониторинга транзакций в ПСБК и обязательным требованиям к мониторингу со стороны МПС. В ней проводится анализ и сравнение наиболее известных коммерческих СМТ.

Показано, что СМТ в ПСБК является основным средством выявления мошенничества с БК. Учитывая увеличение объёма мошеннических операций, банки самостоятельно выбирают готовые СМТ, либо разрабатывают собственные. При этом отсутствует общая терминология в определении функций и характеристик таких систем, необходимая для их сравнения и выбора.

В диссертационной работе предлагается классификация СМТ в ПСБК по следующим критериям:

• скорость реагирования (реальное время, псевдо-реальное время, отложенный режим);

• тип принятия решения (автоматические, автоматизированные);

• информация, используемая при анализе (данные транзакции, история операций по карте и/или ТСП, модели поведения);

• используемый математический аппарат (простые логические проверки, статистические методы, системы с использованием интеллектуального анализа данных, системы с использованием искусственных нейронных сетей);

• тип анализируемых транзакций (эмиссионные, эквайринговые).

Анализ СМТ в ПСБК и применяемых подходов к построению таких

систем позволяет сделать следующие выводы:

• доработка Фронтальной Системы (ФС) Процессингового Центра (ПЦ) банка в части интеграции с СМТ требует существенных затрат;

• системы на основе нейронных сетей в РФ в настоящее время являются экономически невыгодными - затраты на их приобретение, установку и сопровождение существенно превышают уровень потерь от мошенничества;

• рациональными являются системы реального или псевдо-реального времени, интегрируемые с ФС ПЦ и работающие на основе правил анализа транзакций.

В МПС Visa International и MasterCard Worldwide существуют обязательные требования к мониторингу транзакций, однако автором показано, что они являются общими и недостаточными в современных условиях. Эти требования формулируются в виде набора критериев, многие из которых включают пороговые значения сумм или количества операций. Пороговые значения, как правило, должны выставляться банком, а сами критерии должны применяться для систем, работающих в отложенном режиме. Указанных критериев недостаточно, поскольку в современных условиях необходимо выявлять мошенничество в ПСБК в реальном (или близком к реальному) времени, осуществлять гибкую настройку параметров мониторинга.

Несмотря на существование различных коммерческих СМТ, отсутствуют методики оценки рисков в ПСБК и основанные на них возможности настройки параметров СМТ.

На основе анализа обязательных критериев мониторинга транзакций в ПСБК и результатов практической части работы автором выделены некоторые характеристики транзакций, которые являются существенными для мониторинга:

• операции в разных странах в установленный интервал времени предлагается анализировать с учётом географического расстояния между городами;

• неуспешные операции по поддельным картам в случае своевременного выявления и противодействия им позволяют избежать потерь от последующих мошеннических операций;

• операции в банкоматах по зарплатным картам являются сложными для анализа, поскольку часто денежные средства длительное время накапливаются на счёте БК, а затем получаются клиентом путём многочисленных

п

последовательных операций, что может быть ошибочно отнесено к мошенничеству;

• "дружественное мошенничество" сложно выявляется с помощью СМТ, поскольку совершается родственниками, знакомыми или коллегами по работе держателя карты и часто соответствует его поведению при пользовании БК.

В третьей главе - "Формализация задачи количественной оценки риска" - рассмотрены общие вопросы оценки рисков, в том числе количественной оценки рисков. Предложен подход к количественной оценке рисков, связанных с мошенничеством в ПСБК, по категориям мошенничества, а также схема представления данных для использования в расчётах рисков.

Один из возможных подходов к разработке методик оценки риска -накопление статистических данных об имевших место происшествиях. Риск определяется как вероятность причинения вреда с учетом тяжести этого вреда в стоимостном выражении. Тогда для некоторой БК риск будет равен

SFR = Рмош -SiyM,

где Ртш - вероятность проведения мошеннической операции по БК, S^ - величина доступных средств на счёте БК.

Для регистрации данных по всем мошенническим операциям в ПСБК автором предложена схема представления данных в таблицах БД мошеннических операций - как успешных, так и пресечённых, как с наличием ущерба, так и без такового. Разработанная автором ERD-диаграмма для построения БД мошеннических операций в ПСБК приведена на рис. 1. Следует отметить, что предлагаемый формат хранения позволяет фиксировать данные по мошенничеству для банка как по эмиссии, так и по эквайрингу.

На основе анализа особенностей проведения операций по БК в ПСБК автором выделен ряд необходимых условий осуществления мошеннической операции:

• данные БК должны быть скомпрометированы;

документа Имя автора документа Отчество автора документе

Фамилия автора документа Дата создания документ» Дата ратс>раик» документ* Данные

&1»уиемт_мошвмни*<!Сгво:

Ю РК

10 мсиюнничШОО

операции ЯК

Ю документа як

М(Ш.«ЙНЙЧ«С*ВЙ «ЛврйСфЮ

10 РК

10 ипераггюрэ ЯК

Дата и промя получения сообщения

Тип исгочникз сообщения

Наименование источник сообщения

Текст оообшеяия

С

Отчество Фамилия Подрппдвлениа Должность

10 опщшпорв ЯК

Ю тянет рлссле&з ваиия ЯК Ю 1/*<«1двНЯ>8 ЯК

Дата и вовой намела Дате и враыя осончоиия Статус Основание Комментарии £ мовмиюческп« онецишА

V потери бШм

X ирёмщиялншые потеря

V потери миогга

К имгят гмтсретт (уе«?«ю)

Адрес Город Контакты

»асепсдооонив_ТСП

® РК

Ю ргихт'доввнчя ЯК

Ю ГСП як

Ю карты як

Ю МОиМ^ЫШХОО

с.троиии як

10

Ю карты

Описание изменения статуса Дзтз и время изменения Инициатор изменения Лимит получения наличных Лимит покупок » ТСП Общий лимит по операциям Си*"я амиосмониой блокировки

К;|

10 РК

¡0 ЯК

10 продукта як

Номер карты

Срок действия карты

т

10

10 ГО

Адрес Страна

Контакты

10

РК

10 терминала Тип сообщения

Дата и орвыя Закошенная сумма Авторизованная сумма Конвертированная сумма Денные вторите трека Результат авторизации Код автор имции Код ГСП Валюта

Признак оперяции отмены Остзлж не счете

Наименование ТСП Улица ТСП Город ТСП РвгионАитйт ТСП Страна ТСЛ Почтовый индекс ТСП Способ ввода данных карты ПИН блок

Идентификатор аиеаирера Идентификатор эмитента Признак обслуживания по чипу

V

Юсртии

Дата н «р«мя изиемеииИ Старье »ячейки параметров

Нины* ЗИйчиннй (Мр«ий>рОЧ

Хомш-мтерий

Ю транзакции Я

Юправила Я

Дата и время Данные по срабатыванию

Описании правила Дата создания лразклв

Ю Г

10 сряботми&го правила (

Дата и арвмя Тил реахияи Описвнив реакции

Рис. 1. ЕШЭ-диагромма БД мошеннических операций

• скомпрометированные данные использованы для попытки проведения несанкционированной операции;

• попытка проведения несанкционированной операции была осуществлена;

• операция авторизована эмитентом.

В связи с этим вероятность проведения мошеннической операции по карте определяется следующим образом:

РЛЮШ = Р(кпр) • Р(исп | кпр) ■ Р(поп | кпр ■ исп) • (1 - Р (обн)) , где Р(кпр) - вероятность компрометации данных карты, необходимых для проведения мошеннической операции,

Р(исп\кпр) - вероятность использования скомпрометированных данных для проведения операции,

Р {поп \ кпр-исп)- вероятность проведения несанкционированной операции (успех попытки проведения),

Р (оби) - вероятность обнаружения несанкционированной операции эмитентом.

Таким образом, количественная оценка рисков банка-эмитента, связанных с мошенничеством в ПСБК, осуществляется с использованием имеющихся данных по текущим остаткам на счетах БК банка-эмитента (или доступным кредитным лимитам в случае кредитных БК) и вероятностей компрометации данных БК и/или ПИН-кода для каждой БК в совершённых по ней клиентом операциях.

Четвертая глава - "Методика количественной оценки рисков эмитента в ПСБК" - посвящена разработке методики количественной оценки рисков.

Количественная оценка рисков опирается на данные, собираемые банком-эмитентом в своей ПСБК, для расчёта вероятности событий, связанных с мошенничеством. Исходные положения:

• имеется БД совершённых мошеннических операций, соответствующая ERD-диаграмме, приведённой в предыдущей главе;

• имеются данные по всем операциям со всеми БК в ПСБК банка-эмитента;

• по каждой БК имеются следующие данные: история всех операций, история движения средств по счёту карты, история изменений статуса карты, история и параметры изменения ограничений операций с картой, дополнительные признаки карты (зарплатная, относящаяся к VIP клиенту);

• нет никаких специальных данных по уровню осведомленности держателя карты в вопросах информационной безопасности, соблюдения рекомендаций по безопасному использованию карты;

• каждая совершённая клиентом операция по своей БК увеличивает риск проведения мошеннических операций в дальнейшем за счёт увеличения вероятности компрометации данных карты и/или ПИН-кода;

• вероятности обнаружения мошеннических операций СМТ для всех карт эмитента в ПСБК зависят только от типа мошенничества.

Заданы критерии риска для оценивания:

• S.»/"" ■ годовая величина в рублях допустимого риска по мошенничеству с поддельными картами;

• S.^6""- годовая величина в рублях допустимого риска по мошенничеству без присутствия карты;

• С,,,/™- годовая величина в рублях затрачиваемых средств на эксплуатацию СМТ.

Относительно применения СМТ для выявления мошенничества и принятия решений по подозрительным операциям рассчитываются значения следующих величин: риск мошенничества по поддельным картам и риск мошенничества по операциям без присутствия карты. Риск мошенничества по поддельным БК: SFR""' = p»°à-4>»(,кпр). р»°0-Ч" (испI кпр).

• р"«>-4™ (поп | кпр ■ исп) • (1 - р"«'-*"" (обн)) • SCJC" + + p^.mw {кпр). р„„0_п,ш {исп ! тр). (1 _ ршб.тт {дбн)). ^ш/ ^

где Р""'-'"""(кпр) - вероятность компрометации данных магнитной полосы карты,

Р'"">-4""(исп\кпр) - вероятность использования поддельной карты для проведения оплаты в торгово-сервисном предприятии (ТСП), Р"'"1-''""( «ой | кпр-исп) - вероятность принятия к оплате поддельной карты, Р""'Кч"" (обн) - вероятность обнаружения несанкционированной операции эмитентом,

ScyJ':" - доступные средства на счёте клиента для проведения операций в ТСП,

Р""''-'111" (кпр) - вероятность компрометации данных магнитной полосы карты и ПИН-кода,

Р.....'-""" (исп | кпр) - вероятность использования поддельной карты для проведения операции в банкомате,

Pm')J""! (обн) - вероятность обнаружения несанкционированной операции эмитентом,

S„/a' - доступные средства на счёте клиента для проведения операций в банкоматах.

Риск мошенничества по операциям без присутствия карты SFR6"" = Р6"" (кпр) ■ Рб"к (исп \ кпр) ■ Р6"" (поп \ кпр ■ исп) • (1 - Р6"к (обн)) ■ Sj*", где Рг""(кпр)- вероятность компрометации данных для проведения мошеннических операций без присутствия карты,

Р6"" (исп | кпр) - вероятность использования скомпрометированных данных для проведения мошеннических операций,

Рг"" (поп ] кпр -исп) - вероятность принятия данных для проведения операции без присутствия карты,

Р""*(обн)- вероятность обнаружения несанкционированной операции эмитентом,

Sдоступные средства на счёте клиента для проведения операций без присутствия карты.

Приемлемые результаты оценивания в соответствии с заданными критериями:

SFR,0,r ÎSJT, SFRj" < S..J"'\ С,„Г= const. Значения вероятностей в указанных формулах вычисляются по стране и категории торгового предприятия. Так, для расчёта вероятности компрометации данных магнитной полосы карты i в некоторой стране за год в торговом предприятии определённой категории подсчитывается число операций, удовлетворяющих данному условию, в результате которых данные оказались скомпрометированы, и общее число операций, тогда:

wmp(cmpc,rnccm)(t)

W (cmpc,mccn,)(i) '

где WKnp(cmpc,mccm)(i) - число операций, связанных с компрометацией данных, по картам банка в стране стрс и категории торгового предприятия тсс,,, за год,

lV,v,(cmpc,mccm)(i) - общее число операций по картам банка в стране ащ и категории торгового предприятия тсс,,, за год.

Далее вероятность компрометации данных хотя бы в одной операции среди всех, проведенных держателем карты, вычисляется с использованием следующей формулы:

/>(кир) = 1-П(1-Я,(юр)),

I

где Р:{кпр)- вероятность компрометации данных в /-ой операции, п - общее число операций.

Расчёт риска по поддельным картам производится как сумма рисков по всем картам банка. Расчёт риска по мошенническим операциям без присутствия карты осуществляется путем суммирования рисков по всем картам банка.

Оценивание рисков по заданным критериям позволяет установить требования к вероятностям выявления мошеннических операций с помощью СМТ- Р'""'-'"""(обн), Р"00-П""{обн), Р6"'(обн).

Пятая глава - "Разработка и эксплуатация СМТ" - содержит описание разработанной автором, внедрённой и эксплуатируемой СМТ в ПСБК банка-эмитента для уменьшения рисков от мошенничества на основе разработанной методики.

Разработанная автором СМТ, имеющая промышленное наименование FraMoS (Fraud Monitoring System), является системой псевдо-реального времени, основанной на правилах с привлечением статистических профилей держателей карт для анализа эмиссионных операций и реагирования на подозрительные операции для уменьшения рисков, связанных с мошенничеством. Система осуществляет мониторинг транзакций и в части эквайринга.

CMT FraMoS интегрирована с ФС ПЦ для анализа всех осуществляемых авторизационных транзакций в ПСБК банка и принятия адекватных оперативных решений по подозрительным операциям. Программной платформой FraMoS является Microsoft .NET Framework 2.0.

Основные функции и особенности FraMoS:

1. Анализируются транзакции по всем БК в ПСБК.

2. Имеются механизмы оповещения сотрудников отдела сопровождения о возникающих неисправностях, сбоях, приостановке работы отдельных модулей и компонент.

3. Анализ транзакций проводится по формализованным критериям, реализуемым в правилах анализа транзакций.

4. Анализ каждой отдельной транзакции выполняется в реальном времени и не превышает 50 мс.

5. Изменение параметров существующих, добавление новых правил анализа транзакций проводится без прерывания анализа транзакций.

6. По операциям с БК, признанным FraMoS подозрительными, автоматически могут устанавливаться ограничения, все действия протоколируются.

7. Осуществляется автоматическая рассылка почтовых уведомлений и сообщений сотрудникам банка и его филиалов, отвечающим за безопасность ПСБК, а также уполномоченным сотрудникам банков-партнёров.

8. Осуществляется автоматическая рассылка SMS-уведомлений держателям карт по подозрительным операциям определённых типов.

9. Оператору FraMoS предоставляется информация по подозрительной операции для проведения расследования.

10.Обеспечивается формирование отчётов по работе системы, в том числе и в автоматическом режиме.

FraMoS обеспечивает взаимодействие с филиалами банка и сторонними банками в части реагирования на подозрительные операции по БК. FraMoS состоит из серверной и клиентской частей. Серверная часть реализует

сбор данных о транзакциях, их анализ и реагирование на подозрительные транзакции, имеет консоль администратора для локального управления модулями и компонентами.

ФС ПЦ предоставляет серверной части РгаМоЗ данные по транзакциям в ПСБК банка (рис. 2). Серверная часть РгаМо8 осуществляет разбор данных транзакции, проводит её анализ по заданным правилам, разработанным в соответствии с методикой, и реагирует в зависимости от настроек правила. Через Почтовый сервер осуществляется отправка автоматически формируемых почтовых сообщений о сработавших правилах анализа транзакций. Через ЭМБ-сервер реализовано уведомление держателей БК о подозрительных операциях и устанавливаемых ограничениях.

Рабочее место администратора предназначено для контроля работоспособности серверной части РгаМоБ и устранения возникающих проблем.

Рабочее место оператора, являющееся клиентской частью FraMoS, представляет собой прикладную программу с графическим интерфейсом, позволяющую принимать решения о подозрительных операциях и проводить расследования. Оператор получает информацию о срабатывании правила и на основе анализа истории операций по данной карте и статистических данных предпринимает действия по подозрительной операции. Аналитик со своего Рабочего места аналитика имеет возможность формировать отчёты о работе системы. Рабочее место эксперта предназначено для проведения работ по настройке правил анализа транзакций в соответствии с методикой.

Серверная часть FraMoS состоит из четырёх модулей, работающих независимо в отдельных доменах приложений .NET, связь между которыми обеспечивается Главным менеджером (рис. 3):

• Менеджер разбора транзакций осуществляет приём и разбор данных по транзакциям, формат которых соответствует ISO 8583, для последующего анализа;

• Менеджер анализа транзакций применяет заданные правила к данным транзакции с привлечением дополнительных данных и рассчитываемой статистики для выявления подозрительных операций;

Рис. 3. Модули серверной части СМТ FraMoS

• Менеджер знаний обеспечивает расчёт статистических данных для анализа и загрузку вспомогательных данных;

• Менеджер реакции обеспечивает автоматическое и автоматизированное реагирование по подозрительным операциям.

СМТ БгаМоБ интегрирована с ФС ПЦ ООО "Газкардсервис" и используется в ПСБК банка Газпромбанк (Открытое Акционерное Общество). Система находится в промышленной эксплуатации с августа 2006 года.

В заключении приведены основные результаты диссертационной работы, рассмотрены пути дальнейшего развития темы исследования.

ОСНОВНЫЕ РЕЗУЛЬТАТЫ РАБОТЫ

Основной результат работы заключается в разработке количественной методики оценки рисков банка-эмитента, связанных с мошенничеством, в ПСБК и использование методики в разработанной промышленной СМТ.

1. В рассматриваемой области оценка рисков может быть осуществлена количественно, поскольку мошенничество в ПСБК банка-эмитента всегда связано с несанкционированными операциями по банковскому счёту с использованием БК как инструмента доступа к нему.

2. В работе предложена классификация СМТ для выявления подозрительных транзакций в ПСБК и противодействия им.

3. Разработана методика оценки рисков банка-эмитента в ПСБК, связанных с мошенничеством. Для количественной оценки риска использован аппарат теории вероятности и математической статистики.

4. Автором предложен формат хранения данных по мошенническим операциям для использования в расчётах и для подготовки аналитических отчётов.

5. Разработана и внедрена в промышленную эксплуатацию СМТ РгаМоБ в ПСБК, используемая для уменьшения рисков банка-эмитента в соответствии с методикой.

6. Разработан и внедрён в учебный процесс курс по основам обеспечения безопасности технологии банковских карт.

ПУБЛИКАЦИИ ПО ТЕМЕ ДИССЕРТАЦИИ:

1. Кузин М. В. Проблема оценки рисков, связанных с мошенничеством, в платежной системе банковских карт / М.В. Кузин // Безопасность информационных технологий. - 2008. - №3. - С. 117-123. (Перечень ВАК)

2. Кузин М.В. Современное состояние обеспечения безопасности банковских карт / М.В. Кузин // Безопасность информационных технологий. - 2006. - №3. - С. 21-24. (Перечень ВАК)

3. Кузин М.В. Кассовый менеджер как средство обеспечения безопасности автоматизированной торговой системы / М.В. Кузин // Безопасность информационных технологий. - 2005. - №3. - С. 32-34. (Перечень ВАК)

4. Кузин М.В. Платежные карты / М. В. Кузин // Бизнес-энциклопедия / под ред. А. С. Воронина. - М.: Маркет ДС, 2008. - 750 с.

5. Кузин М.В. Современные технологии борьбы с карточным мошенничеством. Мониторинг и предотвращение мошеннических операций. Технологические аспекты / М.В. Кузин // Практическая конференция. Безопасность пластиковых карт. Обнаружение и предотвращение мошенничества. 24-25 июня 2008, infor-media Russia.

6. Кузин М.В., Скородумов Б.И. Оценка рисков, связанных с мошенничеством, в платежной системе банковских карт / М.В. Кузин, Б.И. Скородумов // Цивилизация знаний: инновационный переход к обществу высоких технологий. Материалы Девятой Международной научной конференция. 2526 апреля 2008г., в 2-х частях, Ч. 1. - М.: РОСНОУ. - С. 487-489.

7. Кузин М.В, Оценка рисков, связанных с мошенничеством, в платежной системе банковских карт / М.В. Кузин // Научная сессия МИФИ-2008. XV Всероссийская научная конференция. Проблемы информационной

безопасности в системе высшей школы. Сборник научных трудов. - М.: МИФИ,2008.-С. 82-83.

8. Кузин М.В. Мониторинг транзакций для обеспечения безопасности платежной системы банковских карт банка / М.В. Кузин // Информационная безопасность-2007. Материалы IX Международной научно-практической конференции. 3-7 июля 2007г. Таганрог. 4.1. - Таганрог: Изд-во ТТИ ЮФУ, 2007.-С. 197-201.

9. Кузин М.В. Проблемы обеспечения информационной безопасности платежных систем на основе банковских карт / М.В. Кузин // Научная сессия МИФИ-2007. XIV Всероссийская научная конференция. Проблемы информационной безопасности в системе высшей школы. Сборник научных трудов. - М.: МИФИ, 2007. - С. 82-83.

10. Кузин М.В. Карты в руки. Мониторинг транзакций для обеспечения безопасности платежной системы банковских карт банка / М.В. Кузин // Information Security. -2007. -№6-1. -С. 60-61.

11. Кузин М.В. Современный рынок банковских карт в России / М.В. Кузин // Межвузовская конференция. Инновационное предпринимательство и управление знаниями. 28 ноября 2006г. Тезисы докладов. - М.: РИПО ИГУМО, 2006. - С. 94-95.

12. Кузин М.В., Скородумов Б.И. Информационная безопасность в розничной торговле / М.В. Кузин, Б.И. Скородумов // Information Security. -2006. -№3-4.-С. 12.

13. Кузин М.В. Кассовый менеджер для обеспечения информационной безопасности автоматизированной системы торгового предприятия / М.В. Кузин // Технологии Microsoft в теории и практике программирования. Всероссийская конференция студентов, аспирантов и молодых ученых. 2-3 марта 2006г. Тезисы докладов. - М.: МГТУ им. Н.Э. Баумана, 2006. - С. 8082.

Кузин Максим Витальевич

МЕТОДИКА ОЦЕНКИ РИСКОВ ЭМИТЕНТА В ПЛАТЁЖНОЙ СИСТЕМЕ БАНКОВСКИХ КАРТ С ИСПОЛЬЗОВАНИЕМ МОНИТОРИНГА ТРАНЗАКЦИЙ

Подписано в печать 13,07.2009 Тираж 100 экз. ЗАО "Копи Макс", Павелецкая площадь, д.2., стр. 1 тел.+7(495)937-0770/71/72

Оглавление автор диссертации — кандидата технических наук Кузин, Максим Витальевич

Введение.

1. Анализ рисков эмитента в ПСБК.

1.1. Платёжные системы на основе банковских карт.

1.2. Платёжные карты в мире.

1.3. Банковские карты в России.

1.4. Проблема обеспечения безопасности ПСБК.

1.5. Мошенничество с банковскими картами.

1.6. Постановка задачи мониторинга транзакций.

1.7. Выводы по главе 1.

2. Задачи мониторинга транзакций в ПСБК.

2.1. Мониторинг транзакций.

2.2. Классификация СМТ.

2.3. Данные в транзакции.

2.4. Обязательные критерии мониторинга со стороны МПС.

2.5. Санкции МПС за несоответствие требованиям по противодействию мошенничеству.

2.6. Проблема принятия решений.

2.7. Особенности мониторинга некоторых операций.

2.8. Основные коммерческие СМТ.

2.9. Инициативы MasterCard в области мониторинга.

2.10. Выводы по главе 2.

3. Формализация задачи количественной оценки риска.

3.1. Методы оценки рисков.

3.2. Существующие подходы к оценке риска.

3.3. Оценка рисков в ПСБК.

3.4. ERD-диаграмма БД мошеннических операций.

3.5. Выводы по главе 3.

4. Методика количественной оценки рисков эмитента в ПСБК.

4.1. Расчёт интервальных показателей по мошенничеству.

4.2. Исходные предположения.

4.3. Расчёт вероятностей.

4.4. Расчёт рисков.

4.5. Методика оценки риска по эмиссии.

4.6. Выводы по главе 4.

5. Разработка и эксплуатация СМТ.

5.1. Технические требования к СМТ FraMoS.

5.2. Общее описание системы.

5.3. Серверная часть.

5.4. Клиентская часть.

5.5. Эксплуатация FraMoS.

5.6. Примеры мониторинга операций.

5.7. Выводы по главе 5.

Введение 2009 год, диссертация по информатике, вычислительной технике и управлению, Кузин, Максим Витальевич

Актуальность работы

В последние годы во всём мире активно развиваются платёжные системы на основе банковских карт. Удобство совершения платежей с использованием банковских карт и экономия при переходе от наличных денег к безналичным, возможность предоставлять держателям банковских карт дополнительные сервисы — всё это и многое другое обусловили стремительное развитие данного рынка. На 1 апреля 2009 года в РФ количество эмитированных банковских карт по данным ЦБ составило 121,757 млн., что на 2,3% больше, чем в начале года, и почти в 8 раз больше, чем в начале 2003 года. Число платёжных карт в мире, выпущенных крупнейшими Международными платежными системами (МПС), с 2005 по 2008 гг. возросло на 25% и превысило 3 млрд.

Как инструмент доступа к счёту клиента в банке-эмитенте банковская карта может быть скомпрометирована и использована злоумышленником для несанкционированного доступа к этому счёту, т.е. проведения мошеннической операции. Общие мировые потери от мошенничества в 2007 году в МПС Visa International и MasterCard Worldwide составили более 5,58 млрд. долл. США. По данным Европейской Группы по Обеспечению Безопасности Банкоматов EAST в 2008 году число атак на банкоматы в Европе увеличилось на 149% по сравнению с предыдущим годом, а потери от таких атак возросли на 11%. Исследование Verizon Business показывает, что в результате крупнейших инцидентов информационной безопасности в 2008 году оказались скомпрометированы 285 млн. различных записей, 98% из которых относились к данным платёжных карт (номер карты, срок действия карты, коды верификации карты, данные магнитной полосы карты, ПИН-код).

В РФ официально не публикуется общедоступная статистика по мошенничеству с банковскими картами в различных платёжных системах, а также статистика правоохранительных органов по соответствующим противоправным деяниям. Потери от мошенничества в российском сегменте названных МПС, вычисляемые на основе предоставляемых банками-участниками данных по определенным типам мошеннических операций, за 2007 г. превысил 9 млн. долл. США. Следует отметить, что прирост объёма мошеннических операций по указанным МПС за 2007 г. составил 66%, в то время как общий рост объёма операций по банковским картам в РФ — всего 45,7%.

Мошенничество по банковским картам клиентов приводит к рискам банка-эмитента, связанным с финансовыми потерями и ухудшением репутации. Поэтому банк-эмитент в своей платёжной системе банковских карт (ПСБК) должен выработать и применять специальную политику информационной безопасности, реализовать мероприятия по управлению рисками, внедрять методы и средства выявления мошенничества и противодействия ему.

В соответствии с законодательной и нормативной базой РФ устанавливаются определения и требования к рискам в области информационной безопасности. Отечественные стандарты и нормативные документы ЦБ выдвигают общие требования к менеджменту рисков. Однако эти документы не дают метрики оценки рисков, что является серьезной проблемой при применении требований на практике. Следует отметить, что в настоящее время Стандарт Банка России СТО БР ИББС-1.2-2007 определяет только качественную оценку риска. При отсутствии обязательных требований к метрикам рисков банкам предлагается осуществлять их выбор самостоятельно.

Обозначенные проблемы отмечаются также Советом Безопасности РФ в основных направлениях научных исследований в области обеспечения информационной безопасности, к которым относятся:

• проблемы выявления и пресечения преступлений, совершённых с использованием информационно-телекоммуникационных систем;

• исследование проблем обеспечения информационной безопасности платёжных систем на базе интеллектуальных карт.

Одним из средств защиты ПСБК от мошенничества для банка-эмитента является система мониторинга транзакций (СМТ) по банковским картам. Под транзакцией понимается единичный факт использования БК для приобретения товаров или услуг, получения наличных денежных средств или информации по счёту, следствием которого является дебетование или кредитование счёта клиента. СМТ предназначена для выявления мошеннических транзакций и реагирования на них в ПСБК банка-эмитента с целью уменьшения рисков. В настоящее время отсутствуют общепринятая количественная методика оценки рисков банка-эмитента, связанных с мошенничеством, в ПСБК, и классификация СМТ, необходимая для их сравнения и обоснованного выбора банком-эмитентом.

Исходные положения для диссертационных исследований:

Объектами исследования являются ПСБК со стороны эмитента с точки зрения обеспечения информационной безопасности при совершении операций с использованием банковских карт. Цель исследований:

Защита ПСБК банка-эмитента от мошенничества с использованием СМТ на основе разработанной методики количественной оценки рисков.

Основными задачами проводимых исследований являются:

1. Исследование проблем информационной безопасности в ПСБК при проведении транзакций с использованием банковских карт.

2. Формализация для банка-эмитента задачи обеспечения безопасности операций с использованием банковской карты.

3. Разработка методики количественной оценки рисков в ПСБК банка-эмитента, связанных с мошенничеством.

4. Разработка, внедрение и эксплуатация СМТ в ПСБК банка-эмитента для выявления мошенничества и оперативного реагирования с целью уменьшения рисков.

Объект исследования:

ПСБК и процедуры совершения платежей относительно мошенничества с банковскими картами. Предмет исследования:

СМТ для выявления мошеннических операции в ПСБК и противодействия им. Методы исследований

Методы теории вероятности и математической статистики, теории множеств, объектно-ориентированного анализа. Разработка СМТ осуществлена на основе методов объектно-ориентированных проектирования и программирования. Научная новизна

1. Показано, что мошенничество с БК относится к операционному риску, величина которого может быть оценена количественно на основе истории операций по карте.

2. Предложена ЕГФ-диаграмма базы данных (БД) для регистрации всех мошеннических операций в ПСБК банка-эмитента.

3. Разработана методика количественной оценки рисков по категориям мошенничества на основе созданной БД мошеннических операций в ПСБК банка-эмитента. Достоверность результатов

Достоверность полученных результатов основывается на формальных выводах и заключениях, практике эксплуатации разработанной СМТ в ПСБК банка Газпромбанк (Открытое Акционерное Общество). Практическая значимость

Практическую значимость представляет разработанная, внедрённая и эксплуатируемая СМТ в ПСБК банка-эмитента на основе созданной методики количественной оценки рисков. Основные положения, представляемые к защите

На защиту выносятся следующие основные положения:

1. Автором разработана классификация СМТ в ПСБК.

2. Разработанная автором методика количественной оценки рисков банка-эмитента в ПСБК позволяет принимать обоснованные решения для противодействия мошенничеству с БК.

3. Автором разработана и внедрена СМТ для выявления и противодействия мошенничеству в ПСБК, служащая для уменьшения рисков банка-эмитента, оцениваемых количественно на основе созданной методики.

4. Автором разработан учебный курс по данной тематике, позволивший внедрить в учебный процесс освещение подходов к противодействию мошенничеству с БК. Реализация результатов исследований

Основные результаты исследования применены в разработанной и внедрённой автором СМТ, используемой в Процессинговом Центре ООО "Газкардсервис" ПСБК банка Газпромбанк (Открытое Акционерное Общество). Результаты диссертационной работы внедрены в учебный процесс на факультете "Информационная безопасность" Московского инженерно-физического института (государственного университета), в Институте Банковского Дела Ассоциации Российских Банков. Результаты работы представляют практическую ценность для обеспечения безопасности ПСБК для банков-эмитентов. Апробация работы

Результаты работы докладывались на Межвузовской конференции «Инновационное предпринимательство и управление знаниями» (Москва, 2006 г.), Всероссийской научно-практической конференции «Проблемы защиты информации в системе высшей школы» (Москва, 2007 - 2008 гг.), научно-практической конференции «Информационная безопасность — Юг России» (Таганрог, 2007 г.), семинарах кафедры 44 "Информационная безопасность банковских систем" факультета "Информационная безопасность" МИФИ (Москва, 2007 - 2008 гг.), Международной научной конференции «Цивилизация знаний: инновационный переход к обществу высоких технологий» (Москва, 2008 г.), практической конференции «Безопасность пластиковых карт. Обнаружение и предотвращение мошенничества» (Москва, 2008 г.). Структура и объем диссертации

Работа состоит из введения, пяти глав, заключения, списка литературы, включающего 206 наименований, и 3 приложений. Текст диссертации изложен на 141 странице, включая 25 рисунков и 12 таблиц.

Заключение диссертация на тему "Методика оценки рисков эмитента в платёжной системе банковских карт с использованием мониторинга транзакций"

5.7. Выводы по главе 5

1. Практическая часть работы заключается в проектировании, разработке, внедрении и эксплуатации СМТ для снижения рисков в ПСБК банка-эмитента - FraMoS.

2. Проектирование, разработка и тестирование FraMoS осуществлялось автором с использованием методов объектно-ориентированных анализа, проектирования и программирования.

3. Разработка и тестирование проводилась автором на платформе Microsoft .NET Framework 2.0.

4. FraMoS в ПСБК является основанной на правилах с привлечением профилей держателей карт системой псевдо-реального времени для анализа эмиссионных транзакций и реагирования на подозрительные относительно возможного мошенничества операции. Также осуществляется анализ эквайринговых транзакций. Формат данных по транзакциям, получаемым FraMoS от ФС ПЦ, соответствует протоколу ISO 8583.

5. FraMoS работает на основе разработанной методики оценки рисков банка-эмитента, использующей данные по мошенническим операциям, собираемым в ПСБК.

6. FraMoS позволяет эффективно противодействовать современным схемам мошеннического использования данных банковских карт, их реквизитов и ПИН-кодов. Среди работающих правил анализа транзакций реализован мониторинг следующих операций: в разных странах с присутствием карты для выявления мошенничества по поддельным картам с учётом географического расстояния между местами совершения операций, по картам после их использования в регионах возможной компрометации данных магнитной полосы и/или ПИН-кода, в сети Интернет.

Заключение

Основной результат работы заключается в разработке количественной методики оценки рисков банка-эмитента, связанных с мошенничеством, в ПСБК и использование методики в разработанной промышленной СМТ.

В процессе выполнения диссертационной работы получены следующие теоретические и практические результаты:

1. Автором показано, что в рассматриваемой области оценка рисков может быть осуществлена количественно, поскольку мошенничество в ПСБК всегда связано с несанкционированными операциями по банковскому счёту с использованием банковской карты как инструмента доступа к нему.

2. В работе предложена классификация СМТ для выявления подозрительных на предмет мошенничества транзакций и противодействия им.

3. Разработана методика количественной оценки рисков банка-эмитента, связанных с мошенничеством в ПСБК банка-эмитента. Для количественной оценки риска использован аппарат теории вероятности и математической статистики.

4. Автором предложен формат хранения данных по мошенническим операциям в ПСБК банка-эмитента для использования в расчётах рисков в соответствии с методикой и для подготовки аналитических отчётов.

5. Разработана и внедрена в промышленную эксплуатацию СМТ БгаМоЗ в ПСБК, используемая для уменьшения рисков банка-эмитента в соответствии с методикой.

6. Разработан и внедрён в учебный процесс курс по основам обеспечения безопасности технологии банковских карт.

СМТ РгаМоБ внедрена в Процессинговом Центре ООО «Газкардсервис» банка Газпромбанк (Открытое Акционерное Общество) с 2006 года и используется для мониторинга как эмиссионных, так и эквайринговых транзакций. Основные результаты работы системы за 2008 год:

1. Системой обработано 130 млн. транзакций, время анализа одной транзакции не превышает 50 мс.

2. Выявлены мошеннические операции по 78% скомпрометированных карт в части эмиссии.

3. Предотвращённые потери от мошенничества с банковскими картами превысили общий объём успешных мошеннических транзакций в 2,25 раза.

Дальнейшие исследования и работы в данном направлении могут включать в себя:

• создание инструментального средства оценки рисков банка-эмитента, связанных с мошенничеством в ПСБК, на основе разработанной методики;

• разработку методики мониторинга эквайринговых операций, целесообразность которого подтверждается применением БгаМоЗ для анализа эквайринговых транзакций, что позволило, помимо прочего, обеспечить задержание злоумышленников при проведении мошеннических операций.

Библиография Кузин, Максим Витальевич, диссертация по теме Методы и системы защиты информации, информационная безопасность

1. Предоплаченные инструменты розничных платежей — от дорожного чека до электронных денег / В.А. Кузнецов и др. . М.: Маркет ДС, ЦИПСиР, 2008. - 304 с.

2. Пластиковые карты / JI.B. Быстров и др.. М.: Издательская группа «БДЦ-пресс», 2005. - 624 с.

3. Платежные карты: бизнес-энциклопедия / Ю.М. Авакова и др.. М.: Маркет ДС, 2008. -760 с.

4. Пярин В. А. Безопасность электронного бизнеса / В.А. Пярин, A.C. Кузьмин, С.Н. Смирнов. М.: Гелиос АРВ, 2002. - 432 с.

5. Голдовский И.М. Безопасность платежей в Интернете / И.М. Голдовский. — С-Пб.: Питер, 2001.-240 с.

6. Платежные системы // Эквайринг, Интернет-эквайринг Эквайринг Электронный ресурс. — Режим доступа: http://acquirer.su.

7. Bank Cards Worldwide. Мировая карточная статистика // Мир Карточек. 2008. — №3. — С. 20.

8. The Nilson Report Issue 903 May 2008 // The Nilson Report Электронный ресурс. Режим доступа: http://nilsonreport.com.

9. VISA USA Overview. UBS Global Financial Services Conference. Visa USA Электронный ресурс.: Life Takes Visa. — Режим доступа: http://usa.visa.com.

10. Степнов E. VISA INC: результаты IV квартала 2008 финансового года / Е. Степнов // МИР Карточек. -2008. -№12. С. 12.

11. Актуальные сведения о количестве кредитных организаций, осуществляющих эмиссию и эквайринг банковских карт // Банк России Электронный ресурс. — Режим доступа: http://www.cbr.ru.

12. Обзор российского рынка платежных карт. Тенденции и перспективы развития. — Банк России Электронный ресурс. Режим доступа: http://www.cbr.ru.

13. Аитов Т. Банковские карты: Эволюция угроз / Т. Аитов // Аналитический банковский журнал. 2008. - №8. - С. 82.

14. Более половины российских карт "спящие" // ПЛАС. - 2008. - №7. — С. 12.

15. НАФИ: какими картами пользуются россияне? // ПЛАС. 2008. — №4. - С. 3.

16. Смородинов О. Карточный рынок в России в цифрах / О. Смородинов // Мир Карточек. -2008.-№4.-С. 16.

17. Перспективы развития системы электронных розничных платежей в России. Основные положения / VISA CEMEA-MemCom-MC0021-Sep-05-FSL-T // VISA Электронный ресурс. — Режим доступа: http://visa.com.ru.

18. Кузин М.В. Проблема оценки рисков, связанных с мошенничеством, в платежной системе банковских карт / М.В. Кузин // Безопасность информационных технологий. — 2008. -№3.~ С. 117-123.

19. ГОСТ Р 51897-2002. Менеджмент риска. Термины и определения. Введ. 2003-01-01. -Федеральное агентство по техническому регулированию и метрологии Электронный ресурс. : национальные стандарты. - Режим доступа: http://www.gost.ru.

20. Капица С.П. Синергетика и прогнозы будущего / С.П. Капица, С.П. Курдюмов, Г.Г. Малинецкий. Москва: Едиториал УРСС, 2003. - 288 с.

21. Королёв В. Методологические вопросы оценки влияния информационных рисков на деятельность организации / В. Королёв // Информационно-аналитический журнал "ФАКТ" Электронный ресурс. : архив журнала "Факт" №14. — Режим доступа: http://www.fact.ru.

22. Сабанов А.Г. Информационная безопасность в России и мире / А.Г. Сабанов // В мире науки. 2009. - №2. - С. 18-21.

23. Гризов А.И. Новые платежные технологии. Информационно-справочное издание / А.И. Гризов. — М.: ООО «Рекон Интернешнл», 2007. — 468 с.

24. Соглашение Basel II в России: операционные риски — основная проблема банков / Совместное исследование компании Infowatch и Национального Банковского Жернала // Infowatch Электронный ресурс. : аналитика. — Режим доступа: http ://www. infowatch.ru.

25. Алборов А. ЦБ Уполномочен защитить. Почему далеко не все банки согласны внедрять Стандарт информационной безопасности / А. Алборов // Национальный банковский журнал. 2008. - №4. - С. 88.

26. Кузин М.В. Информационная безопасность в розничной торговле / М.В. Кузин, Б.И. Скородумов // Information Security/ 2006. - № 3-4. - С. 12.

27. Скородумов Б.И. Информационная безопасность современных коммерческих банков / Б. И. Скородумов // Институт развития информационного общества Электронный ресурс. Режим доступа: http://emag.iis.ru.

28. Скородумов Б.И. Опыт и проблемы е-банкинга в Европе / Б.И. Скородумов // Мир карточек. — 2003. — №5-6.

29. Уголовный кодекс Российской Федерации от 13.06.1996 № 63-Ф (ред. от 22.07.2008). -"Консультант Плюс" Электронный ресурс. : законодательство РФ: кодексы, законы, указы, постановления, нормативные акты. Режим доступа: http://www.consultant.ru.

30. Кузин М.В. Карты в руки. Мониторинг транзакций для обеспечения безопасности платежной системы банковских карт банка / М.В. Кузин // Information Security. 2007. — №6-1. -С. 60.

31. Кузин М.В. Современное состояние обеспечения безопасности банковских карт / М. В. Кузин // Безопасность информационных технологий. — 2006. — №3. — С. 21.

32. Берд К. Лаборатория и жизнь / К. Берд // Компьютерра. 2008. - №40. - С. 20.

33. Дик В.В. Банковские операции в Интернет: учебное пособие / В.В. Дик. М.: 2005. - 120 с.

34. Зима В.М. Безопасность глобальных сетевых технологий / В.М. Зима, A.A. Молдовян, H.A. Молдовян. СПб.: БХВ-Петербург, 2000. - 320 с.

35. Кузин М.В. Кассовый менеджер как средство обеспечения безопасности автоматизированной торговой системы / М.В. Кузин // Безопасность информационных технологий. 2005. -№3. - С. 32.

36. Атака из Internet / И.Д. Медведовский и др.. М.: СОЛОН-Р, 2002. - 368 с.

37. Теренин A.A. Методика построения защищенной вычислительной сети электронных платежей : дис. . канд. физ.-мат. наук (05.13.13-телекоммуникационпые системы и компьютерные сети) / A.A. Теренин ; рук. работы Ю.Н. Мельников. М.: МЭИ, 2004. -158 с.

38. Шнайер Б. Секреты и ложь. Безопасность данных в цифровом мире / Б. Шнайер ; пер. с англ. СПб.: Питер, 2003. - 368 с.

39. MICROS: 'Hackers are picking on the small guys' // ATM Marketplace Электронный ресурс.: ATM Security. Режим доступа: http://www.atmmarketplace.com.

40. Peretti K.K. Data Breaches: What the Underground World of "Carding" Reveals / K.K. Peretti // Payments News Электронный ресурс. : February 06, 2009. — Режим доступа: http://www.pavmentsnews.com.

41. Рудакова О.С. Банковские электронные услуги: Учебное пособие / О.С. Рудакова. — М.: Вузовский учебник, 2009. 400 с.

42. Джеймс Д. Фишинг. Техника компьютерных преступлений / Д. Джеймс ; пер. с англ. — М.: НТ Пресс, 2008. 320 с.

43. Abad С. The Economy of Phishing: A Survey of the Operations of the Phishing Market / C. Abad // Cloudmark Электронный ресурс. Режим доступа: http://www.cloudmark.com/en/home.html.

44. Payment Card Industry (PCI) Data Security Standard Version 1.2 // Home: PCI Security Standards Council Электронный ресурс. Режим доступа: https://pcisecuritystandards.org.

45. Shevchenko S. The Effect of Credit Crunch on Backdoors / S. Shevchenko // ThreatExpert Blog Электронный ресурс.: 18.03.2009. Режим доступа: http://blog.threatexpert.com.

46. Nefarious Numbers // Information Security. Dec. 2007/January 2008. - C. 20.

47. Богданова С. Борьба с мошенничеством в сфере платежных карт / С. Богданова // Банковское дело. 2008. - №10. - С. 74-79.

48. Пархомов В.А. Проблемы оценки скрытых угроз электронному бизнесу / В.А. Пархомов, В.А. Паршин, М.В. Старичков // Безопасность информационных технологий. 2005. -№ 1. — С. 51.

49. Старостина Е.В. Защита от компьютерных преступлений и кибертерроризма / Е.В. Старостина, Д.Б. Фролов. — М.: Изд-во Эксмо, 2005. 192 с.

50. Лопашенко Н.А. Преступления в сфере экономики. Авторский комментарий к уголовному закону / Н.А. Лопашенко. М.: Волтерс Клувер, 2006. - 720 с.

51. Доронин А. Преступление и наказание / А. Доронин // Мир Карточек. 2008. - № 11. - С. 26.

52. ATM hackers net millions using stolen information // Security News and Security Product Reviews Электронный ресурс. : SC Magazine US. — Режим доступа: http .7/wwvv. scmagazineus .com.

53. Британцы страдают от «перегрузки ПИН-кодами» // ПЛАС. 2007. - №6. - С. 87.

54. Алексеев С. Штурм денежной крепости / С. Алексеев // Кредит.ги Электронный ресурс. : банковский кредит | потребительский кредит | ипотечный кредит | автокредит | лизинг | кредитные карты. — Режим доступа: http://www.credit.ru.

55. Recommended ATM anti-skimming solutions within SEPA // EPC Электронный ресурс. -Режим доступа: http://www.europeanpavmentscouncil.eu.

56. Голдовский И. "Легкая" поступь EMV-миграции, или Куда уходит фрод? / И. Голдовский // ПЛАС. 2006. - №4. - С. 2.

57. Голдовский И.М. Микропроцессорные карты стандарта EMV / И.М. Голдовский. — М.: Издательская группа «БДЦ-пресс», 2006. — 544 с.

58. Голдовский И. О путешествии ПИН-кода из ПИН-пада терминала в HSM эмитента / И. Голдовский // ПЛАС. 2007. - №2. - С. 2.

59. Уровень мошенничества с банкоматами в Европе вырос на 43% // ПЛАС. 2008. - №5. -С. 89.

60. Anderson R. The Man-in-the-Middle Defence / R. Anderson, M. Bond // The Computer Laboratory Электронный ресурс. — Режим доступа: http://www.cl.cam.ac.uk.

61. Bond М. Chip & PIN (EMV) Interceptor / M. Bond // The Computer Laboratory Электронный ресурс. Режим доступа: http://www.cl.cam.ac.uk.

62. Берд К. Игла и скрепка / К. Берд // Компьютера: все новости про компьютеры, железо, новые технологии, информационные технологии Электронный ресурс. — Режим доступа: http ://www.computerra.ru.

63. Drimer S. Keep Your Enemies Close: Distance Bounding Against Smartcard Relay Attacks / S. Drimer, S. J. Murdoch // The Computer Laboratory Электронный ресурс. Режим доступа: http://wvvw.cl.cam.ac.uk.

64. Drimer S. Tamper Resistance of Chip & PIN (EMV) Terminals / Drimer, S. J. Murdoch // The Computer Laboratory Электронный ресурс. Режим доступа: http://www.cl.cam.ac.uk.

65. Drimer S. Thinking inside the box: system-level failures of tamper proofing / S. Drimer, S. J. Murdoch, R. Anderson // Computer Laboratory: Technical reports Электронный ресурс. -Режим доступа: http://www.cl.cam.ac.uk/techreports.

66. Fraud The Facts 2008 // Card Watch Электронный ресурс. : Card Fraud Prevention. — Режим доступа: http://www.cardwatch.org.uk.

67. Голенищев А. Составные части мошенничества / А. Голенищев // Мир Карточек. — 2008. -№ 11.-С. 29.

68. Вяткин В.Н. Базель-2 революция идеи и эволюция действий: управление банковскими рисками / В.Н. Вяткин, В.А. Гамза. - М.: ЗАО «Издательство «Экономика», 2007. — 208 с.

69. Имаев В.Г. Дистанционный анализ операционных рисков коммерческого банка / В.Г. Имаев // Нефтегазовое дело Электронный ресурс. : электронный научный журнал. -Режим доступа: http://wwWogbus.ru.

70. Истомин Д. Количественная оценка рисков — залог непрерывности бизнеса / Д. Истомин // Деловой квартал — Екатеринбург Электронный ресурс. : новости. — Режим доступа: http://www.dkvartal.ru.

71. Operational Risk: Where Is The Value? A first order approximation // Business Intelligence Software and Predictive Analytics — SAS Электронный ресурс. — Режим доступа: http ://www. sas.com.

72. Manz S. Operational Risk Management and Control: Managing Data as a Key Asset / S.Manz. N. Gesher // ProfitStarts.com Электронный ресурс. Режим доступа: http://www.profitstars.com.

73. Петренко С.А. Управление информационными рисками. Экономически оправданная безопасность / С.А. Петренко, С.В. Симонов. — М.: Компания АйТи; ДМК Пресс, 2004. -384 с.

74. Черняк С. Практика претензионной работы в российских банках / С. Черняк // ПЛАС. -2007.-№1.-С. 2.

75. MasterCard Worldwide Risk Products Overview, 29 August 2007 // Welcome to MasterCard OnLine Электронный ресурс. — Режим доступа: http://www.mastercardonline.com.

76. MasterCard Worldwide Security Rules and Procedures, July 2008 // Welcome to MasterCard OnLine Электронный ресурс. — Режим доступа: http://www.mastercardonline.com.

77. VISA Regional Operating Regulations. Central and Eastern Europe, Middle East, And Africa. 15 May 2008. Visa Online Электронный ресурс. — Режим доступа: https://www.visaonline.com.

78. PCI DSS: информационная безопасность в индустрии платежных карт // Банковские технологии. 2008. - №7. - С. 36.

79. Эмм М. Стандарт PCI DSS: основные несоответствия и как с ними бороться / М. Эмм, Н. Зосимовская // ПЛАС. 2008. №2. - С. 13.

80. Heartland Payment Systems Uncovers Malicious Software In Its Processing System. -Heartland Payment Systems Электронный ресурс. — Режим доступа: http://www.2008breach.com.

81. Heartland Struggles To Measure Extent Of Massive Security Breach. — Dark Reading | Security | Protect The Business Электронный ресурс. — Режим доступа: http://www.darkreading.com.

82. RBS WorlPay Hacked, 1.5 mln. Cardholders At Risk. Best Security Tips brings you daily news, hot topics, advices and tips about spy ware, phishing Электронный ресурс.: Security Incidents, 28.12.2008. - Режим доступа: http://www.bestsecuritvtips.com.

83. List of PCI DSS Compliant Service Providers As Of 1/20/2009. Visa USA Электронный ресурс. - Режим доступа: http://usa.visa.com.

84. Герасименко В.А. Основы защиты информации / В.А. Герасименко, А.А. Малюк. М.: 1997.-537 с.

85. Теоретические основы компьютерной безопасности / Н.П. Девянин и др.. М.: Радио и связь, 2000. - 192 с.

86. Halting the Rise in Debit Card Fraud Losses. A Fair Isaac White Paper // Business Intelligence, Decision Management — Fair Isaac Corporation Электронный ресурс. — Режим доступа: www.fairisaac.com.

87. VISA Issuer Risk Management Guide. Tools and Best Practices for Controlling Fraud Losses. December 2006. Visa Online Электронный ресурс. — Режим доступа: https://www.visaonline.com.

88. Паршин А. Кредит Урал Банк: опыт борьбы с мошенничеством / А. Паршин // ПЛАС. -2008,- №3. С. 18.

89. Вакильев Ф. Анатомия фрод-мониторинга / Ф. Вакильев // ПЛАС. 2007. - №2. — С. 20.

90. Милославская Н.Г. Интрасети: обнаружение вторжений: Учебн. пособие для вузов / Н.Г. Милославская, А.И. Толстой. М.: ЮНИТИ-ДАНА, 2001. - 587 с.

91. Поиск. Глоссарий.ги // Глоссарий.ги Электронный ресурс. Режим доступа: http://glossary.ru.

92. ГОСТ Р 50922-2006. Защита информации. Основные термины и определения. Введ. 2008-02-01. - Федеральное агентство по техническому регулированию и метрологии Электронный ресурс. : национальные стандарты. — Режим доступа: http://www.gost.ru.

93. MasterCard Worldwide Complete SAFE Manual, October 2008 // Welcome to MasterCard OnLine Электронный ресурс. — Режим доступа: http://www.mastercardonline.com.

94. MasterCard Worldwide MOST User's Manual, 28 December 2007 // Welcome to MasterCard OnLine Электронный ресурс. Режим доступа: http://www.mastercardonline.com.

95. Борьба с карточным мошенничеством. ООО «Компас Плюс» // Аналитический банковский журнал Электронный ресурс. — Режим доступа: http://wvvw.abaiour.ru.

96. Казиев В.М. Введение в анализ, синтез и моделирование систем: Учебное пособие / В.М. Казиев. М.: Интернет-Университет Информационных Технологий; БИНОМ. Лаборатория знаний, 2006. — 244 с.

97. Чубукова И.A. Data Mining: Учебное пособие / И.А. Чубукова. М.: Интернет-Университет Информационных технологий; БИНОМ. Лаборатория знаний, 2006. - 382 с.

98. Яхъяева Г.Э. Нечеткие множества и нейронные сети: Учебное пособие / Г.Э. Яхъяева. — М.: Интернет-Университет Информационных Технологий; БИНОМ. Лаборатория знаний, 2006.-316 с.

99. ISO 8583 Standard for Financial Transaction Card Oriented Messages Interchange message specification. - Введ.: 2003-01-01. - Main Page - Wikipedia, the free encyclopedia Электронный ресурс. : ISO 8583. — Режим доступа: http://en.wikipedia.org.

100. Методы поддержки принятия решений: Сборник трудов Института системного анализа Российской академии наук / Под ред. Академика О.И. Ларичева. М.: Эдиториал УРСС, 2001.-72 с.

101. Науман Э. Принять решение но как? / Э. Науман ; пер. с нем. - М.: Мир, 1987. - 198 с.

102. Частиков А.П. Разработка экспертных систем. Среда CLIPS / А.П. Частиков, Т.А. Гаврилова, Д.Л. Белов СПб.: БХВ-Петербург, 2003. - 608 с.

103. Черняк С. Обучение как фактор повышения эффективности противодействия карточному мошенничеству / С. Черняк // ПЛАС. — 2008. — №9. — С. 15.

104. VISA тестирует систему мгновенного оповещения об операциях с банковскими картами //ПЛАС.-2008. -№7. — С. 101.

105. Falcon Fraud Manager // Decision Management — Predictive Analytics — Fair Isaac Corporation Электронный ресурс. — Режим доступа: www.fairisaac.com.

106. ACI Proactive Risk Manager // ACI Worldwide ACI Worldwide - payments software Электронный ресурс. : fraud detection and anti money laundering software from ACI Worldwide. — Режим доступа: http://www.aciworldwide.com.

107. ACI Proactive Risk Manager Solution // ACI Worldwide ACI Worldwide — payments software Электронный ресурс. : fraud detection and anti money laundering software from ACI Worldwide. - Режим доступа: http://www.aciworldwide. сom.

108. Way4 Overview small // Way4. The Way Forward Электронный ресурс. — Режим доступа: www.openwaygroup.com.

109. Way4 Real-Time Risk Management // Way4. The Way Forward Электронный ресурс. -Режим доступа: www.openwaygroup.com.

110. TietoEnator Card Suite // Tieto Электронный ресурс. — Режим доступа: www.tietoenator.lt.

111. TranzWare Fraud Analizer // Compass Plus — комплексные банковские технологии Электронный ресурс. Режим доступа: http://www.compassplus.ru.

112. Мониторинг мошеннических операций // Compass Plus — комплексные банковские технологии Электронный ресурс. — Режим доступа: http://www.compassplus.ru.

113. Мониторинг и предотвращение мошеннических транзакций в системе SmartVista // SmartVista Электронный ресурс. Режим доступа: http://bpcsv.com.

114. Authentic Risk Manager Product Fact Sheet // Alaric multi-channel payment integration, enterprise and card fraud detection solutions Электронный ресурс. — Режим доступа: http://alaric.com.

115. Соловьев П. Современные технологии подходы к своевременному обнаружению и предотвращению мошенничества с банковскими картами / П. Соловьев // 1Х-я Международная конференция «Безопасность пластиковых карт», г. Москва, 31 октября -01 ноября 2006 г.

116. Астахов А.В. Системный подход к управлению рисками крупных российских коммерческих банков / А.В. Астахов // Деньги и кредит. 1998. - №1. — С. 23.

117. Астахов А. Общее описание процедуры аттестации автоматизированных систем по требованиям информационной безопасности / А. Астахов // Jet Info. №11. — 2000.

118. Астахов А. Анализ защищенности корпоративных автоматизированных систем / А. Астахов // Jet Info. №7. - 2002.

119. Симонов С. Технологии и инструментарий для управления рисками / С. Симонов // Jet Info.-№2.-2003.

120. Симонов С. Информационная безопасность в корпоративных системах: практические аспекты / С. Симонов // КомпьюЛинк Электронный ресурс.: PCWEEK N30, 2001. -Режим доступа: http://www.compulink.ru.

121. Галатенко В. «Оценка безопасности автоматизированных систем». Обзор и анализ предлагаемого проекта технического доклада ISO/IEC PDTR 19791 / В. Галатенко // Jet Info. №7. - 2005.

122. Лобанов А. Анализ применимости различных моделей расчёта value at risk на российском рынке акций / А. Лобанов, А. Порох // РЭА — Риск-Менеджмент Электронный ресурс. Режим доступа: http://rrrn.rea.ru.

123. Лобанов А. Новые подходы Базельского комитета к достаточности банковского капитала («Базель II»). Возможности и трудности реализации в российских условиях / А. Лобанов // РЭА Риск-Менеджмент Электронный ресурс. - Режим доступа: http://rrm.rea.ru.

124. Лобанов А. Проблема метода при расчёте value at risk / А. Лобанов // Риск-Менеджмент Электронный ресурс. Режим доступа: http://rrm.rea.ru.

125. Лобанов А. Риск-менеджмент в private banking-ключевое звено на пути к успеху / А. Лобанов, В. Золотарев // РЭА — Риск-Менеджмент Электронный ресурс. — Режим доступа: http://rrm.rea.ru.

126. Лобанов А. Тенденции развития риск-менеджмента: мировой опыт / А. Лобанов, А. Чугунов // РЭА Риск-Менеджмент Электронный ресурс. — Режим доступа: http://rrm.rea.ru.

127. Лобанов А. Тенденции развития риск-менеджмента на пороге XXI века: мировой опыт и перспективы России // А. Лобанов, С.Филин, А. Чугунов // Риск-Менеджмент Электронный ресурс. — Режим доступа: http://rrm.rea.ru.

128. Лобанов A.A. Сравнительный анализ методов расчёта VaR-лимитов с учетом модельного риска на примере российского рынка акций / A.A. Лобанов, IL И. Кайнова // Риск-Менеджмент Электронный ресурс. Режим доступа: http.7/rrrn.rea.ru.

129. Васильева О. Управление рисками в гостиничном строительстве и гостиничном деле / О. Васильева, М. Чеготов // Риск-Менеджмент Электронный ресурс. — Режим доступа: http://rrm.rea.ru.

130. Золотарев В. Имитационные модели риск-менеджмента в нефинансовых компаниях / В. Золотарев // РЭА Риск-Менеджмент Электронный ресурс. — Режим доступа: http://rrm.rea.ru.

131. Золотарев В. Интегральные меры корпоративного риска / В. Золотарев // РЭА Риск-Менеджмент Электронный ресурс. — Режим доступа: http://rrm.rea.ru.

132. Давлетханов М. Оценка затрат компании на ИБ / М. Давлетханов // Getinfo.Ru Электронный ресурс. : компьютерная библиотека. Режим доступа: http://wmv.getinfo.ru.

133. Шеффи Й. Жизнестойкое предприятие. Как повысить надежность цепочки поставок и сохранить конкурентное преимущество / Й. Шеффи ; пер. с англ. — М.: Альпина Бизнес Букс, 2006. 304 с.

134. Visa СЕМЕА. Cernea Fraud Information Service. Visa Online Электронный ресурс. — Режим доступа: https://www.visaonHne.com.

135. Пятиизбянцев Н.П. Преступления в сфере платежных карт / Н.П. Пятиизбянцев // Банковское дело. 2008. - №10. - С. 74-79.

136. Вендров A.M. CASE-технологии: современные методы и средства проектирования информационных систем / A.M. Вендров. М.: Финансы и статистика, 1998. - 176 с.

137. Крёнке Д. Теория и практика построения баз данных / Д. Крёнке ; пер. с англ. СПб.: Питер, 2003. - 800 с.

138. Хомоненко А.Д. Базы данных: Учебник для высших учебных заведений / А.Д. Хомоненко, В.М. Цыганков, М.Г. Мальцев. СПб.: КОРОНА принт, 2004. - 736 с.

139. Александров П.С. Введение в теорию множеств и общую топологию / П.С. Александров. — М.: Главная редакция физико-математической литературы издательства «Наука», 1977.-368 с.

140. Биркгоф Г. Современная прикладная алгебра / Г. Биркгоф, Т. Барти ; пер. с англ. М.: Издательство «Мир», 1976. - 400 с.

141. Брандт 3. Анализ данных. Статистические и вычислительные методы для научных работников и инженеров / 3. Брандт ; пер. с англ. М.: Мир, ООО «Издательство ACT», 2003.-686 с.

142. Ван дер Варден Б.Л. Математическая статистика / Б.Л. Ван дер Варден ; пер с нем. М.: Издательство иностранной литературы, 1960. — 435 с.

143. Вапник В.Н. Восстановление зависимостей по эмпирическим данным / В.Н. Вапник. -М.: Главная редакция физико-математической литературы издательства «Наука», 1979. -448 с.

144. Верещагин Н.К. Лекции по математической логике и теории алгоритмов. Часть 1. Начала теории множеств / Н.К. Верещагин, А. Шень. М.: МЦНМО, 1998. - 128 с.

145. Грэхем Р. Конкретная математика. Основание информатики / Р. Грэхем, Д. Кнут, О. Паташник ; пер. с англ. М.: Мир, 1998. - 703 с.

146. Ивченко Г.И. Математическая статистика: Учебное пособие для втузов / Г.И. Ивченко, Ю.И. Медведев. М.: Высшая школа, 1984. - 248 с.

147. Теория вероятностей и математическая статистика. Базовый курс с примерами и задачами / А.И. Кибзун и др.. М.: ФИЗМАТЛИТ, 2002. - 224 с.

148. Козлов М.В. Введение в математическую статистику / М.В. Козлов, A.B. Прохоров. — М.: Издательство МГУ, 1987. 264 с.

149. Крамер Г. Математические методы статистики / Г. Крамер ; пер с англ. — М.: Издательство «Мир», 1975. — 648 с.

150. Луговская Л.В. Эконометрика в вопросах и ответах: Учебное пособие / Л.В. Луговская. M.: ТК Велби - Проспект, 2006. - 208 с.

151. Партыка Т.Л. Математические методы / Т.Л. Партыка, И. И. Попов. М.: ФОРУМ — ИНФРА-М, 2005.-463 с.

152. Фигурин В.А. Теория вероятностей и математическая статистика. Учебное пособие / В.А. Фигурин, В.В. Оболонкин. Мн.: ООО "Новое знание", 2000. - 208 с.

153. Фишер P.A. Статистические методы для исследователей / P.A. Фишер ; пер. с англ. — М.: Госстатиздат, 1958. —267 с.

154. VISA СЕМЕА Loss Prevention. A Guide to Monitoring and Threshold Setting, November 2003. Visa Online Электронный ресурс. - Режим доступа: https://www.visaonline.com.

155. Гальперин С. PayPal подключил Россию / С. Гальперин // Издание о высоких технологиях CNews Электронный ресурс. : Новости, 13.10.2006. — Режим доступа: http://www.cnews.ru.

156. Буч Г. Объектно-ориентированный анализ и проектирование с примерами приложений на С++ / Г. Буч ; пер. с англ. — М.: «Издательство Бином», СПб.: «Невский диалект», 2001.-560 с.

157. Вендров A.M. Современные технологии создания программного обеспечения (обзор) / A.M. Вендров // Jet Info. №4. - 2004.

158. Вигерс К.И. Разработка требований к программному обеспечению / К.И. Вигерс ; пер. с англ. М.: Издательско-торговый дом «Русская Редакция», 2004. — 576 с.

159. Приемы объектно-ориентированного проектирования. Паттерны проектирования / Э. Гамма и др. ; пер. с англ. СПб: Питер, 2003. - 368 с.

160. Грэхем И. Объектно-ориентированные методы. Принципы и практика / И. Грэхем ; пер. с англ. М.: Вильяме, 2004. - 880 с.

161. Иванова Г.С. Объектно-ориентированное программирование: Учеб. для вузов / Г.С. Иванова, Т.Н. Ничушкина, Е.К. Пугачев. М.: Изд-во МГТУ им. Н.Э. Баумана, 2001. -320 с.

162. Самоучитель Visual Basic .NET / Р.Г. Карпов и др.. СПб.: БХВ-Петербург, 2005. -592 с.

163. Коналлен Д. Разработка Web-приложений с использованием UML / Д. Коналлен ; пер с англ. — М.: Издательский дом "Вильяме", 2001. — 288 с.

164. Кулямин В.В. Технологии программирования. Компонентный подход / В.В. Кулямин. -М.: Интернет-Университет Информационных Технологий; БИНОМ. Лаборатория знаний, 2007. 463 с.

165. Ларман К. Применение UML и шаблонов проектирования / К. Ларман ; пер. с англ. -М.: Издательский дом "Вильяме", 2002. 624 с.

166. Новиков Ф.А. Дискретная математика для программистов / Ф.А. Новиков. СПб.: Питер, 2002. - 304 с.

167. Нортроп Т. Основы разработки приложений на платформе Microsoft .NET Framework. Учебный курс Microsoft / Т. Нортроп, Ш. Уилдермьюс, Б. Райан ; пер. с англ. М.: «Русская редакция», СПб.: «Питер», 2007. - 864 с. - (Прил.: 1 CD-ROM).

168. Нортроп Т. Разработка защищенных приложений на Visual Basic .NET и Visual С# .NET. Учебный курс Microsoft / Т. Нортон ; пер. с англ. М.: Издательство «Русская Редакция», 2007. - 688 с. - (Прил.: 1 CD-ROM).

169. Озеров В. Delphi. Советы программистов / В. Озеров. М.: Символ-Плюс, 2004. — 976 с.

170. Пол А. Объектно-ориентированное программирование на С++ / А. Пол ; пер. с англ. — СПб.; М.: «Невский Диалект» «Издательство БИНОМ», 1999 - 462 с.

171. Пышкин Е.В. Основные концепции и механизмы объектно-ориентированного программирования / Е.В. Пышкин. — СПб.: БХВ-Петербург, 2005. 640 с.

172. Рамбо Дж. UML: специальный справочник / Дж. Рамбо, А. Якобсон, Г. Буч ; пер с англ. СПб.: Питер, 2002. - 656 с.

173. Рихтер Д. Программирование на платформе Microsoft .NET Framework. Мастер-класс. / Д. Рихтер ; пер. с англ. М.: Издательско-торговый дом «Русская Редакция»; СПб.: Питер, 2005.-512 с.

174. Скопин И.Н. Основы менеджмента программных проектов. Курс лекций. Учебное пособие / И.Н. Скопин // М.: ИНТУИТ.РУ «Интернет-Университет Информационных технологий», 2004. — 336 с.

175. Стэкер М.А. Разработка клиентских Windows-приложений на платформе Microsoft .NET Framework: Учебный курс Microsoft / М.А. Стэкер, С.Дж. Стэйн, Т. Нортроп ; пер с англ. СПб.: Питер, 2008. - 624 с. - (Прил.: 1 CD-ROM).

176. Трофимов С.А. CASE-технологии: практическая работа в Rational Rose / С.А. Трофимов. — М.: Бином-Пресс, 2002. 288 с.

177. Шлеер С. Объектно-ориентированный анализ: моделирование мира в состояниях / С. Шлеер, С. Меллор ; пер. с англ. Киев: Диалектика, 1993. - 240 с.

178. Калбертсон Р. Быстрое тестирование / Р. Калбертсон, К. Браун, Г. Кобб ; пер. с англ. -М.: Издательский дом "Вильяме", 2002. 384 с.

179. Шнайер Б. Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си / Б. Шнайер ; пер. с англ. М.: Издательство ТРИУМФ, 2003. - 816 с.

180. Байдачный С. SQL Server 2005: Новые возможности для разработчиков / С. Байдачный, Д. Маленко, Ю. Лозинский. М.: СОЛОН-Пресс, 2006. - 208 с.

181. Боуман Дж. Практическое руководство по SQL / Дж. Боуман, С. Эмерсон, М. Дарновски ; пер. с англ. М.: Вильяме, 2001. — 336 с.

182. Ганделрой М. Освоение Microsoft SQL Server 2005 / M. Ганделрой, Д. Джорден, Д. Чанц; пер. с англ. М.: ООО "И.Д. Вильяме", 2007. - 1104 с.

183. Станек У.Р. Microsoft SQL Server 2005. Справочник администратора / У.Р. Станек ; пер. с англ. М.: Издательство «Русская Редакция», 2006. - 544 с.

184. Вычисление расстояния и начального азимута между двумя точками на сфере // GIS-Lab Электронный ресурс. : Геоинформационные системы и Дистанционное зондирование Земли. — Режим доступа: http://gis-lab.ru.

185. Пантелеев В.Л. Теория фигуры Земли. Курс лекций / В.Л. Пантелеев // Лаборатория гравиметрии Электронный ресурс. — Режим доступа: http ://ln fin 1 .sai.msu.ru/grav/ russi an/main.htm.

186. Служба безопасности Газпромбанка предупреждает: в Турции появился новый вид мошенничества с банковскими картами неэлектронный Фишинг // Газпромбанк Электронный ресурс. - Режим доступа: http://www.gazprombank.ru.

187. Иноземцева А. Карта в руки / А. Иноземцева // Издательский дом «Коммерсант» Электронный ресурс. : Коммерсант-Банк №56 от 05.04.2007. Режим доступа: http ://www. ko mmersant.ru.

188. Crédit Card Processing Diagram How It Works // Authorize.net Электронный ресурс. : Payment Gateway to Accept Online Payments. - Режим доступа: www.authorize.net.