Методы и инструменты оценки рисков на базе мониторинга карточных транзакций
Под риском понимается вероятность причинения вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений с учетом тяжести этого вреда (Федеральный закон "О техническом регулировании" N 184-ФЗ). Оценка рисков - это оценка угроз, их последствий, уязвимости информации и средств ее обработки, а также вероятности их возникновения. Управление рисками - процесс выявления, контроля и минимизации или устранения рисков безопасности, оказывающих влияние на информационные системы, в рамках допустимых затрат (ГОСТ Р 51897 "Менеджмент риска. Термины и определения" и ГОСТ Р ИСО/МЭК 17799 "Информационная технология. Практические правила управления информационной безопасностью").
Начальным этапом является идентификация риска, то есть процесс нахождения, составления перечня и описания элементов риска. Риск может быть оценен, оценка представляет собой общий процесс анализа риска и его оценивания. Анализ риска состоит в систематическом использовании информации для определения источников риска и количественной оценки риска. Оценивание риска - это процесс сравнения количественно оцененного риска с заданными критериями риска для определения его значимости.
В результате обмена информацией о риске и его осознании может быть принято решение о его обработке, то есть о выборе и осуществлении мер по модификации, либо решение о принятии риска. Обработка риска подразумевает планирование финансовых средств на соответствующие расходы (финансирование риска).
|
|
|
Система управления рисками в платежной системе (Федеральный закон от 27.06.2011 N 161-ФЗ "О национальной платежной системе") есть комплекс мероприятий и способов снижения вероятности возникновения неблагоприятных последствий для бесперебойности функционирования платежной системы с учетом размера причиняемого ущерба. Оператор платежной системы (организация, определяющая правила платежной системы, а также выполняющая иные обязанности в соответствии с упомянутым законом) обязан определить одну из следующих используемых в платежной системе организационных моделей управления рисками в платежной системе:
- самостоятельное управление рисками в платежной системе оператором платежной системы;
- распределение функций по оценке и управлению рисками между оператором платежной системы, операторами услуг платежной инфраструктуры и участниками платежной системы;
- передача функций по оценке и управлению рисками оператором платежной системы, не являющимся кредитной организацией, расчетному центру.
|
|
|
Система управления рисками должна предусматривать следующие мероприятия:
1) определение организационной структуры управления рисками, обеспечивающей контроль за выполнением участниками платежной системы требований к управлению рисками, установленных правилами платежной системы;
2) определение функциональных обязанностей лиц, ответственных за управление рисками, либо соответствующих структурных подразделений;
3) доведение до органов управления оператора платежной системы соответствующей информации о рисках;
4) определение показателей бесперебойности функционирования платежной системы в соответствии с требованиями нормативных актов Банка России;
5) определение порядка обеспечения бесперебойности функционирования платежной системы в соответствии с требованиями нормативных актов Банка России;
6) определение методик анализа рисков в платежной системе, включая профили рисков, в соответствии с требованиями нормативных актов Банка России;
7) определение порядка обмена информацией, необходимой для управления рисками;
8) определение порядка взаимодействия в спорных, нестандартных и чрезвычайных ситуациях, включая случаи системных сбоев;
|
|
|
9) определение порядка изменения операционных и технологических средств и процедур;
10) определение порядка оценки качества функционирования операционных и технологических средств, информационных систем независимой организацией;
11) определение порядка обеспечения защиты информации в платежной системе.
Банковская карта как инструмент для совершения безналичных операций по счету клиента в банке-эмитенте относительно обеспечения безопасности:
- может быть скомпрометирована и использована злоумышленником для несанкционированного доступа к счету владельца инструмента;
- может быть ненадлежащим образом использована самим клиентом.
С введением в действие упомянутого закона N 161-ФЗ существовавшие с момента появления банковских карт риски должны обрабатываться следующим образом (в терминах закона банковская карта - это электронное средство платежа, клиентом является физическое лицо) согласно статье 9:
- в случае утраты электронного средства платежа и (или) его использования без согласия клиента клиент обязан направить соответствующее уведомление оператору по переводу денежных средств в предусмотренной договором форме незамедлительно после обнаружения факта утраты электронного средства платежа и (или) его использования без согласия клиента, но не позднее дня, следующего за днем получения от оператора по переводу денежных средств уведомления о совершенной операции (часть 11);
|
|
|
- после получения оператором по переводу денежных средств уведомления клиента оператор по переводу денежных средств обязан возместить клиенту сумму операции, совершенной без согласия клиента после получения указанного уведомления (часть 12);
- в случае если оператор по переводу денежных средств не исполняет обязанность по информированию клиента о совершенной операции, то он обязан возместить клиенту сумму операции, о которой клиент не был проинформирован и которая была совершена без согласия клиента (часть 13);
- в случае если оператор по переводу денежных средств исполняет обязанность по информированию клиента о совершенной операции и клиент не направил оператору по переводу денежных средств уведомление, оператор по переводу денежных средств не обязан возместить клиенту сумму операции, совершенной без согласия клиента (часть 14);
- в случае если оператор по переводу денежных средств исполняет обязанность по уведомлению клиента и клиент направил оператору по переводу денежных средств уведомление, оператор по переводу денежных средств должен возместить клиенту сумму указанной операции, совершенной без согласия клиента до момента направления клиентом уведомления. В указанном случае оператор по переводу денежных средств обязан возместить сумму операции, совершенной без согласия клиента, если не докажет, что клиент нарушил порядок использования электронного средства платежа, что повлекло совершение операции без согласия клиента - физического лица (часть 15).
Таким образом, нормативные документы устанавливают требования к оценке рисков в платежной сфере, что, с одной стороны, приводит к необходимости их измерения, а с другой - к выбору адекватных средств и инструментов для их предотвращения или снижения до приемлемого уровня.
Количественная оценка рисков
В простейшем случае для вычисления риска производится оценка двух факторов: вероятность происшествия и тяжесть возможных последствий.
.
Если переменные являются количественными величинами, то риск - оценка математического ожидания потерь. Если переменные - качественные величины, то метрическая операция умножения не определена и в явном виде применять эту формулу нельзя. В зарубежных методиках, рассчитанных на более высокие требования, чем базовый уровень обеспечения безопасности, используется модель оценки риска по трем факторам: угроза, уязвимость, цена потери. При этом
,
тогда:
.
Данное выражение необходимо рассматривать как математическую формулу, если используются количественные шкалы, либо как формулировку общей идеи, если хотя бы одна из шкал - качественная. В последнем случае применяются различные табличные методы для расчета риска в зависимости от трех факторов.
Для оценки угроз и уязвимостей применяются различные методы, в основе которых лежат:
- экспертные оценки;
- статистические данные;
- учет факторов, влияющих на уровни угроз и уязвимостей.
Один из возможных подходов к разработке подобных методик - накопление статистических данных об имевших место происшествиях, анализ и классификация их причин, выявление факторов, от которых они зависят.
Дата добавления: 2019-02-12; просмотров: 156; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!