Безопасность карточного бизнеса : бизнес-энциклопедия - А. Алексанов

Далее сформулируем общие требования к СМТ и задачи мониторинга транзакций в ПСБК.

1. Мониторинг транзакций по банковским картам должен обеспечивать анализ всех авторизационных и клиринговых операций по банковским картам в ПСБК и принятие решений по подозрительным на предмет мошенничества операциям с целью уменьшения рисков.

2. Система мониторинга транзакций является инструментом уменьшения рисков, связанных с проведением мошеннических операций по банковским картам, и должна быть составной частью комплексного подхода к обеспечению безопасности ПСБК банка.

Выбор той или иной СМТ банком-эмитентом должен основываться на анализе существующих рисков. Система должна использоваться для снижения финансовых потерь банка и держателей карт, снижения недовольства клиентов и повышения доверия к банку.

В стандарте СТО БР ИББС-1.0-2010 мониторинг информационной безопасности (ИБ) организации банковской системы РФ определяется как постоянное наблюдение за событиями мониторинга ИБ, сбор, анализ и обобщение результатов наблюдения. Событием мониторинга в данной терминологии является любое событие, имеющее отношение к ИБ. Мониторинг ИБ должен проводиться персоналом организации, ответственным за ИБ, с целью обнаружения и регистрации отклонений функционирования защитных мер от требований ИБ и оценки полноты реализации положений политики ИБ, инструкций и руководств обеспечения ИБ в организации. Основными целями мониторинга ИБ в организации являются оперативное и постоянное наблюдение, сбор, анализ и обработка данных под заданные руководством цели.

Исходя из определения ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения» мониторинг безопасности информации представляет собой постоянное наблюдение за процессом обеспечения безопасности информации в информационной системе с целью установить его соответствие требованиям безопасности информации.

По терминологии МПС под транзакцией (или операцией) понимается одно из следующих определений:

• инициируемая держателем карты последовательность сообщений, вырабатываемых и передаваемых друг другу участниками системы для обслуживания держателей карт, при соблюдении свойств неделимости (должны выполняться все составляющие транзакции или не выполняться ни одна), согласованности (транзакция не нарушает корректности информации в базах данных), изолированности (отдельная транзакция не зависит от других), надежности (завершенная транзакция должна восстанавливаться после сбоя, а незавершенная — отменяться);

• единичный факт использования карты для приобретения товаров или услуг, получения наличных денежных средств или информации по счету, следствием которого является дебетование или кредитование счета клиента.

В соответствии с ранее приведенным определением мошенническая операция — операция с использованием банковской карты или ее реквизитов, не инициированная или не подтвержденная ее держателем. Мониторинг использует набор критериев и признаков (fraudulent pattern), позволяющих идентифицировать и своевременно пресечь несанкционированное использование карты.

Таким образом, СМТ в ПСБК являются одним из средств выявления и противодействия мошенничеству с банковскими картами. Существуют обязательные требования МПС к мониторингу, но они являются общими и в настоящее время недостаточными ввиду их принципиальной ориентированности на формирование регулярных отчетов, а не выявление мошенничества в реальном или близком к реальному времени.

На рис. 3.1 приведена классификация СМТ.

По скорости реагирования СМТ предлагается подразделять на следующие классы.

1. Системы реального времени (онлайновые, on-line). Такие системы работают в реальном времени, имеется возможность влиять на результат авторизации операции.

2. Системы псевдореального времени (псевдоонлайновые, pseudoonline). Анализ операций проводится в реальном времени, но нет возможности влиять на результат авторизации. Решение может быть принято только после завершения подозрительной (мошеннической) транзакции.

3. Системы отложенного режима (оффлайновые, off-line). Периодически (ежедневно, еженедельно и т. д.) формируются специальные отчеты, на основе анализа которых принимаются решения.

По типу принятия решения делятся на:

1) автоматические. Решение по операции принимается системой автоматически без участия человека.

2) автоматизированные. Система предоставляет уполномоченному сотруднику информацию для принятия им решения по данной транзакции.

Классификация по информации, используемой при анализе.

1. Системы, использующие только данные самой транзакции. В анализе учитываются только параметры транзакции — сумма, название торгово-сервисного предприятия (ТСП), категория ТСП, страна и т. д.

2. Системы, привлекающие для анализа историю операций по карте/ТСП. При анализе используется история по прошедшим операциям по данной карте/ТСП.

3. Системы, использующие модели поведения держателей карт и ТСП. Система строит и/или использует модели поведения держателей карт и ТСП. Анализ транзакции проводится в соответствии с имеющейся моделью, на основании отклонения поведения от модели операция признается подозрительной.

Классификация по используемому математическому аппарату для анализа.

1. Системы на основе простых логических проверок. Логические проверки включают операции >, <, =, ≠.

2. Системы, использующие статистические методы. К используемым методам относятся методы описательной статистики, корреляционного анализа, регрессионного анализа.

3. Системы, привлекающие методы интеллектуального анализа данных (без использования нейронных сетей). Методы интеллектуального анализа данных (data mining), применяемые в анализе транзакций, могут включать методы классификации и прогнозирования, кластерного анализа, поиска ассоциаций.

4. Системы на основе нейронных сетей. Анализ операций проводится на основе адаптивных схем, построенных на нейронных сетях, что позволяет также выявлять ранее не известные схемы мошенничества. Эти системы являются дорогостоящими и требуют существенных ресурсов для настройки (обучения нейронной сети).

Анализируемые транзакции подразделяются на два класса.

1. Эмиссионные. Анализируются транзакции по картам, выпущенным банком.

2. Эквайринговые. Анализируются транзакции в эквайринговой сети банка.

Мониторинг транзакций позволяет банкам-эмитентам отслеживать попытки проведения мошеннических транзакций по собственным картам и принимать меры для уменьшения рисков (табл. 3.1).