А. Алексанов - Безопасность карточного бизнеса : бизнес-энциклопедия

Рейтинг:

• 80
• 1
• 2
• 3
• 4
• 5

Название:

Безопасность карточного бизнеса : бизнес-энциклопедия

Автор:

А. Алексанов

Издательство:

Московская финансово-промышленная академия; ЦИПСиР

Жанр:

О бизнесе популярно

Год:

2012

ISBN:

978-5-4257-0018-6

Скачать:

99Пожалуйста дождитесь своей очереди, идёт подготовка вашей ссылки для скачивания...

Скачивание начинается... Если скачивание не началось автоматически, пожалуйста нажмите на эту ссылку.

Вы автор?
Жалоба

Все книги на сайте размещаются его пользователями. Приносим свои глубочайшие извинения, если Ваша книга была опубликована без Вашего на то согласия.
Напишите нам, и мы в срочном порядке примем меры.

Как получить книгу?

Оплатили, но не знаете что делать дальше? Инструкция.

Описание книги "Безопасность карточного бизнеса : бизнес-энциклопедия"

Описание и краткое содержание "Безопасность карточного бизнеса : бизнес-энциклопедия" читать бесплатно онлайн.

Таким образом, влияние эквайрера на торговца ограничено: сеть торговца не контролируется эквайрером; сертификация торговца за счет эквайрера приводит к удорожанию эквайринга: дополнительные затраты на сканирование, аудит, сертификацию ПО, увеличивается стоимость транзакции; эквайрер заинтересован понизить уровень торговца для сертификации; существующая схема сертификации торговцев может привести к недостоверным результатам соответствия Стандарту.

4. Существует ряд юридических аспектов в РФ для банков, которые следует отметить. По требованиям Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и Стандарта Банка России СТО БР ИББС-1.0-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения», который в настоящее время носит рекомендательный характер, банки и так внедряют системы защиты данных в соответствии с этими требованиями, причем сами требования принципиально не отличаются от требований Стандарта. Это означает, что общая стоимость защиты различных используемых банком автоматизированных систем еще более возрастет, при этом целесообразность этого не является бесспорной и достаточно обоснованной применительно к российским условиям.

5. После успешного прохождения аудита на соответствие требованиям Стандарта компания, его прошедшая, не получает никаких гарантий безопасности ни от аудиторов, ни от платежных систем. В случае же взлома системы защиты такой компании в дальнейшем статус сертифицированной организации будет, как показывает практика, пересмотрен (отозван).

6. В Стандарте нет метрик, позволяющих судить об эффективности применения его требований. Организация может либо соответствовать Стандарту после прохождения аудита (compliance), либо не соответствовать.

7. Наконец, платежные карты на основе магнитной полосы и традиционные платежи без присутствия карты (с использованием только номера карты, срока действия и кода верификации карты CVC2/CVV2) принципиально уязвимы ввиду уязвимости самих технологий. В связи с этим обеспечить безопасность принципиально уязвимых технологий невозможно.

Реализовывать требования Стандарта, очевидно, необходимо, поскольку он носит обязательный характер в соответствии с требованиями международных платежных систем. Тем не менее как сам Стандарт, так и процедуры сертификации на соответствие его требованиям имеют ряд отмеченных недостатков, препятствующих достижению его основной цели — защиты данных платежных карт.

В связи с этим более перспективным является другой путь обеспечения безопасности, а именно — не защита существующих уязвимых платежных технологий, требующая дополнительных инвестиций, а миграция на более современные и защищенные технологии, включая EMV и 3D-Secure, на которые участниками рынка уже потрачены значительные средства.

В соответствии с Положением Банка России от 24 декабря 2004 г. № 266-П «Об эмиссии банковских карт и об операциях, совершаемых с использованием платежных карт» внутрибанковские правила должны содержать систему управления рисками при осуществлении операций с использованием платежных карт, включая порядок оценки кредитного риска, а также предотвращения рисков при использовании кодов, паролей в качестве аналога собственноручной подписи, в том числе при обработке и фиксировании результатов проверки таких кодов, паролей.

Банковская карта как инструмент для совершения безналичных операций по счету клиента в банке-эмитенте в плане обеспечения безопасности:

• может быть скомпрометирована и использована злоумышленником для несанкционированного доступа к счету владельца инструмента;

• может быть ненадлежащим образом использована самим клиентом[80].

В соответствии с определением, данным в Федеральном законе от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании»[81] (в ред. от 28 сентября 2010 г. № 243-ФЗ), риск есть вероятность причинения вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений с учетом тяжести этого вреда.

По определениям стандартов ГОСТ Р 51897-2002 «Менеджмент риска. Термины и определения» и ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью» оценка рисков — это оценка угроз, их последствий, уязвимости информации и средств ее обработки, а также вероятности их возникновения. Управление рисками — процесс выявления, контроля и минимизации или устранения рисков безопасности, оказывающий влияние на информационные системы в рамках допустимых затрат.

К системам менеджмента информационной безопасности применимы требования ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования». Система менеджмента информационной безопасности — часть общей системы менеджмента, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности.

Первоначальным этапом является идентификация риска, т. е. процесс нахождения, составления перечня и описания элементов риска. Риск может быть оценен; оценка представляет собой общий процесс анализа риска и собственно его оценивание. Анализ риска состоит в систематическом использовании информации для определения источников риска и количественной оценки риска. Оценивание риска — это процесс сравнения количественно оцененного риска с заданными критериями риска для определения его значимости.

В результате обмена информации о риске и его осознании может быть принято решение по его обработке, т. е. выборе и осуществлению мер по его модификации, либо решение о принятии риска. Обработка риска подразумевает планирование финансовых средств на соответствующие расходы (финансирование риска).

Риск может быть предотвращен в результате принятия решения о «невхождении» в рискованную ситуацию или действия, предупреждающего вовлечение в нее. Если предотвратить риск не удается, его можно перенести, т. е. разделить с другой стороной бремя потерь от него.

Снижение риска — это действия, предпринятые для уменьшения вероятности наступления негативных последствий, связанных с риском. При этом уменьшение последствий от события означает ограничение любого негативного последствия конкретного события. После обработки остается риск, называемый остаточным риском.

Общие положения по обеспечению информационной безопасности в организациях банковской системы РФ устанавливаются Стандартом Банка России СТО БР ИББС-1.0-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». В соответствии со Стандартом информационная безопасность организации банковской системы РФ есть состояние защищенности интересов (целей) организации банковской системы в условиях угроз в информационной сфере. Защищенность достигается обеспечением совокупности свойств информационной безопасности — конфиденциальностью, целостностью, доступностью информационных активов для интересов (целей) организации. Информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение, хранение и использование информации, а также системы регулирования возникающих при этом отношений.

Письмо Банка России от 24 мая 2005 г. № 76-Т «Об организации управления операционным риском в кредитных организациях» содержит рекомендации по управлению операционным риском в кредитных организациях. Операционный риск — риск возникновения убытков в результате несоответствия характеру и масштабам деятельности кредитной организации и (или) требованиям действующего законодательства, внутренних порядков и процедур проведения банковских операций и других сделок, их нарушения служащими кредитной организации и (или) иными лицами (вследствие непреднамеренных или умышленных действий или бездействия), несоразмерности (недостаточности) функциональных возможностей (характеристик) применяемых кредитной организацией информационных, технологических и других систем и (или) их отказов (нарушений функционирования), а также в результате воздействия внешних событий.