В этой связи обеспечение безопасности использования пластиковых технологий является одним из наиболее важных факторов по предотвращению нанесения банку и клиентам материального ущерба.

Следует отметить, что платежные системы предпринимали и предпринимают значительные усилия для того, чтобы помочь финансовым институтам отыскать наиболее эффективные методы предотвращения мошенничества с банковскими карточками. Этими организациями разрабатываются различные процедуры для прекращения мошеннических действий в тех случаях, когда профилактические меры не сработали. Для этих целей постоянно создаются и отрабатываются новые технологии, которые облегчают осуществление подобных мероприятий и процедур.

Суть мошеннических операций с платежными карточками состоит в выяснении номеров счетов, изготовлении фальшивых карт, перекачивании денег с их помощью со счетов истинных владельцев на счета подставных фирм или физических лиц.

Чисто теоретически мошенничество может произойти на любой стадии выпуска и функционирования карты:

• в банке-эмитенте;

• в банке, обслуживающем торгово-сервисную сеть;

• в торгово-сервисной сети;

• непосредственно в среде держателей карт;

• в компаниях, обслуживающих информационный обмен между участниками платежной системы.

Возможность мошенничества предопределена тем уровнем доверия между банком и клиентом, на котором основано обращение пластиковых карт. Свою роль здесь играют и чисто технические особенности пластиковых карт, такие как степени защиты карты, технологические особенности карты (магнитная полоса или микросхема), коммуникационные возможности банка-эмитента и банка-эквайрера, техническое оснащение и технологическое обеспечение торгово-сервисной сети.

Исходя из этого, для уменьшения размера ущерба банки применяют различные меры защиты (организационные, программно-технические и др).

Особенностью такого подхода к обеспечению безопасности является создание защищенной среды обработки информации в пластиковой платежной системе, объединяющей разнородные меры противодействия угрозам (правовые, организационные, программно-технические). Система таких мер по обеспечению безопасности представлена в приложении 15.

Обеспечение безопасности в целом предполагает создание препятствий для любого несанкционированного вмешательства в процесс ее функционирования, а также попыток хищения, модификации, выведения из строя или разрушения ее компонентов, то есть защиту всех компонентов системы:

• оборудования;

• программного обеспечения;

• данных;

• персонала.

Исключительно важное значение имеет конфиденциальность информации, т.е. свойство информации быть известной только допущенным и прошедшим проверку(авторизированным) субъектам системы (пользователям, программам, процессам и т.д.). Для остальных субъектов системы эта информация не существует.

Опасность несанкционированного доступа к базам данных и автоматизированным рабочим местам особо проявляется в процессинговых центрах. Чреват последствиями и доступ злоумышленников к автоматизированным рабочим местам, на которых совершаются операции по проведению и обработке транзакций по картам.

Для предотвращения несанкционированного доступа необходимо:

• периодически вносить изменения в базу данных сведений о пользователях, допущенных к работе в системе, их правах доступа к различным объектам системы и др.;

• документировать все изменения в базе данных;

• организовать систему заявок от должностных лиц организации на разрешение доступа тому или иному сотруднику к ресурсу системы. При этом ответственность за допуск сотрудника возлагается на соответствующее лицо, подписавшее заявку.

При этом каждый сотрудник обслуживающего персонала должен хорошо знать свои обязанности и нести ответственность за свои действия при работе в автоматизированной пластиковой системе.

Задача пользователя персонального компьютера или терминала состоит в том, чтобы обеспечить физическую целостность компьютера (терминала) во время сеанса работы с системой, а также не допустить разглашение собственного пароля.

Администратор баз данных несет ответственность за конфиденциальность информации в базах данных, доступа к ней, ее логическую непротиворечивость и целостность.

Руководитель отвечает за распределение обязанностей служащих в сфере безопасности обработки информации, предупреждение возможных угроз и профилактику средств защиты.

Все сотрудники банка, участвующие в той или иной мере в проведении операций по обслуживанию пластиковых карточек, обязаны их исполнять согласно правил, установленных для каждого рабочего места.

Если операция проводится с нарушением правил, она может быть признана недействительной. Причем материальная ответственность за совершение такой операции возлагается персонально на сотрудника, допустившего несоблюдение правил руководящих документов.

Ключевым превентивным элементом в борьбе с мошенничеством является обучение персонала и клиентов.

Как правило, обучение включает базовые вопросы безопасности при использовании пластиковой карточки, безопасность обращения с ПИН-кодом, порядок действий держателя в случае потери или кражи карточки, а также сведения о мере и рамках его ответственности.

Для достижения максимальной эффективности банки стремятся организовать непрерывное и разнообразное по формам и методам обучение персонала и держателей карточек.

В частности, держатели карточек обеспечиваются специальной литературой при выдаче карточки, получают небольшие сувениры с необходимой информацией, например, багажные бирки с телефонами, по которым держатель может незамедлительно сообщить о потере карточки или ее краже. В этих целях широко используются средства массовой информации.

Принимая во внимание , что для процессирования любой мошеннической транзакции необходимо участие предприятия обслуживания, обучение персонала в основном сфокусировано на определении попытки мошенничества согласно разработанным формам и методам службой безопасности банка.

Обучение периодически повторяется с целью закрепления учебного материала и приобретения уверенности в знаниях работающего персонала.

Безопасность пластиковой платежной системы во многом зависит от использования административных мер. Они включают:

• мероприятия, осуществляемые при подборе и подготовке персонала (проверка новых сотрудников, ознакомлением их с порядком работы с конфиденциальной информацией, с мерами ответственности за нарушение правил ее обработки, создании условий, при которых персоналу было бы невыгодно допускать злоупотребления и т.д.);

• организацию надежного пропускного режима;

• организацию учета, хранения, использования и уничтожения документов и носителей с конфиденциальной информацией;

• мероприятия, осуществляемые при проектировании, разработке, ремонте и модификациях оборудования и программного обеспечения (сертификация используемых технических и программных средств, строгое санкционирование, рассмотрение и утверждение всех изменений, проверка их на соответствие требованиям защиты, документальное отражение изменений и т.д.)

Важнейшую роль в достижении максимальной безопасности системы пластиковых расчетов призвана играть служба безопасности банка, которая осуществляет контроль за проведением расчетов в пластиковой платежной системе и предотвращает попытки нанесения банку экономического ущерба.

Основная цель данного подразделения - предупредительный аспект по уменьшению риска, связанного с нанесением экономического ущерба и людских потерь. Ее реализация осуществляется посредством:

• знания оперативной обстановки региона и доведения ее до сотрудников;

• анализа и предупреждения фактов мошенничества с применением пластиковых карточек;

• выявления преступных посягательств на банк, его персонал, экономические интересы;

• проведения учебных занятий, семинаров, консультаций с персоналом банка и его клиентами;

• проверки, изучения деловых и личных качеств сотрудников банка;

• изучения потенциальных клиентов банка;

• осуществления плановых и внезапных проверок;

• контроля за эксплуатацией программного обеспечения и правильностью осуществления технологических процессов в автоматизированной системе с применением пластиковых карточек;

• мониторинга систем безопасности с целью контроля выполнения правил заданной политики безопасности;

• оперативного и адекватного реагирования на события, связанные с нарушением информационной безопасности.

При этом уполномоченные подразделения обязаны незамедлительно информировать руководство банка и контрольно-ревизионную службу обо всех случаях утраты карт, мошеннических операциях с картами и в случаях подозрения на мошенничество. Это позволяет в полной мере использовать процедуру оптимизации стоп-листа, предусматривающую изъятие утраченной карточки из обращения.

Неотъемлемой частью системы информационной безопасности платежной системы является системное и прикладное программное обеспечение автоматизации работ с пластиковыми карточками.

Во всех технологически сложных системах возникают нештатные ситуации, связанные со сбоями или отказами технических средств. Потенциально существуют угрозы того, что злоумышленники смогут воспользоваться побочными результатами этих нештатных ситуаций (потерями или искажениями стоп-листов, раскрытием секретных кодов и т.д.). В частности, в Сбербанке РФ с целью исключения этого не допускается использовать нелецинзированное системное программное обеспечение, запрещается также использовать неаттестованное программное обеспечение. Причем аттестованное программное обеспечение разрешается использовать при соответствии требованиям по информационной безопасности, после вычисления контрольных значений, с занесением в протокол аттестации.

Основные компоненты системы безопасности в Ставропольском банке Сбербанка России представлены схематично в приложениях 15, 16, 17.

3.2 Перспективы развития системы расчетов пластиковыми карточками Сбербанка России

В рамках концепции развития системы пластиковых карточек, разработанной в Сберегательном банке Российской Федерации, в Ставропольском банке 24/02/99 г. решением Правления также утверждена соответствующая концепция, которая считает одной из своих важнейших стратегических задач на обозримый период выход на российский и международный рынок и завоевание в крае лидирующих позиций. При этом дальнейшее развитие микропроцессорной карточки предполагается в рамках единых комплексных технологических и технических решений Сбербанка России, но при высокой степени самостоятельности за счет создания Ставропольским банком собственного процессингового центра с центром авторизации, оснащенного отказоустойчивыми масштабируемыми аппаратными и программными средствами мирового класса, расширения сети банкоматов, зон и филиалов самообслуживания клиентов, обеспечив в них прием всех выпускаемых Сбербанком РФ пластиковых карточек.

В соответствии с Концепцией развития системы пластиковых карточек Ставропольского банка на 01/01/2000 года установлен план эмиссии в 31 тыс. микропроцессорных пластиковых карточек, остатки на карточных счетах на эту дату должны составить 13950 тыс. рублей.

Установление таких напряженных плановых заданий требует активной работы по развитию инфраструктуры обслуживания пластиковых карточек в торговой сети и сфере услуг. В 1999 году тербанком планируется установить в регионе дополнительно 96 банковских терминалов в торговой сети, развернуть 10 POS-терминалов в филиалах отделений, которые позволят обслуживать как микропроцессорные, так и магнитополосные карточки, а также высвободить банковские терминалы для использования в торговой сети.

Предполагается дополнительная организация пунктов обслуживания микропроцессорных пластиковых карточек в Георгиевском, Кировском, Нефтекумском, Петровском и Шпаковском ОСБ. При этом привязка отделений к главному центру эмиссии в регионе определяется территориальным банком. Таких центров на данном этапе в крае три- Ставропольский, Буденовский и Пятигорский.

В части коммунальных платежей предусматривается внедрение платежной системы самообслуживания (ПСС) в Буденовском отделении на основе многофункционального терминала самообслуживания SIEMENS ES235. ПСС позволит проводить массовые безналичные коммунальные платежи в режиме самообслуживания, что будет способствовать значительному ускорению прохождения платежей, повысит их качество и высвободит операционных работников.

Одним из приоритетных направлений работы на 1999 год определены такие карточные продукты междунироных платежных систем как «VISA», включая «VISA Electron» и «EuroCard/MasterCard», а также дебетовая карточка «Сбербанк Cirrus-Maestro» как самая доступная для широкого круга клиентов.