51. Підходи до обмеження ризиків платіжних систем
Найбільш розповсюджені у платіжних системах економічно розвинених країн такі підходи до проблеми обмеження фінансових ризиків:
1. Обмеження обсягу розрахунків.
2. Забезпечення надійності розрахунків.
3. Попередній відбір учасників системи (врахування фінансового стану, технічних та операційних можливостей, обсягу розрахункових платежів).
4. Нагляд за платіжною поведінкою-учасників, чий критичний стан відомий (передбачає наявність певного вихідного рівня фінансової надійності учасників системи, а також надійних засобів контролю в рамках режиму нагляду).
5. Контроль за ризиками в системах взаємного зарахування великих сум платежів.
6. Запобігання шахрайству. Основні сфери, де повинні вживатися заходи щодо зміцнення системи - це керівний склад, персонал платіжної системи, програмно-техпічне забезпечення. Вірогідність шахрайства і помилок у системі зменшується при зменшенні частки ручної обробки платіжної інформації.
Існують 2 підходи до проблем обмеження фін.ризику: 1.спрямований на обмеження обсягу розрахунків: -юрид.підхід-сприяє забезпеч. Визначеності правого статусу кінцевої чистої позиції -процедурний-проведення протягом дня більш як одного розрахункового циклу -динамічний-створення механізму черговості за допом.якого можна задати протягом дня оптимальний обсяг необхідної суми розрахунків. 2.спрямований на забезпечення надійності розрахунку шляхом: - забезпечення остаточних платежів за кожною трансакцією в режимі реального часу; -можливість використання заставного забезпечення , зо надається учасниками; -використання механізму розподілу збитків між іншими учасниками. Серед інших методів управління ризиками виділяють: 3.Попередній відбір учасників системи; 4.Контроль за ризиком у разі систем взаємного зарахування великих сум платежів; 5.Забезпечення ЦБ ліквідності в си-мі; 6.Вибір си-ми розрахунків на валовій або чистій основі; 7.Створення ефективних механізмів міжбанківських позик; 8.Запобігання шахрайству. Си-ма має бути раціональною, передбачуваною та захищеною від зазіхань. 9.Стандартизація платіжної інформації та технології.
52. Принципи, що застосовуються в процесі розробки і реалізації заходів боротьби з ризиком у платіжних системах. До них належать, зокрема, такі: 1)рішення мають відповідати ринковим вимогам; 2)ризиком повинні управляти ті, хто має найкращі можливості робити це з мінімальними витратами; 3)слід виявляти гнучкість у визначенні шляхів досягнення поставленої мети; 4)вирішення технічних питань; 5) використані заходи повинні стимулювати найбільш економічні вирішення проблеми управління ризиком; 6) бажане оприлюднення частоти помилок, а також централізований аналіз параметрів та причин помилок; 7) жодна окрема особа не повинна мати повноваження затверджувати (вводити) і надсилати платіжні інструкції; 8) слід звести до мінімуму можливості вносити зміни в платіжні інструкції та платіжну інформацію; 9) необхідна періодична перевірка заходів протидії шахрайству із внесенням необхідних змін у платіжний процес.
53.Стандарти Ламфалуссі. Ці стандарти, що встановлюють мінімальні нормативні вимоги до структури і операцій систем взаємозаліку, мають назву за ім’ям колишнього голови Банку міжнародних розрахунків. У них сформульовані такі умови: 1.Механізми взаємозаліку вимог повинні мати добре обґрунтовану правову базу в усіх відповідних юрисдикціях.
2.Учасники механізму взаємозаліку вимог повинні чітко уявляти собі вплив конкретного механізму на всі види фінансових ризиків, які існують у процесі взаємозаліку. 3.У системах багатостороннього взаємозаліку повинні існувати чітко сформульовані процедури управління кредитними ризиками та ризиками ліквідності, які б визначали відповідні обов'язки рганізатора й учасників взаємозаліків; крім того, процедури мають передбачати встановлення максимального рівня кредитного ризику, який може бути створений кожним учасником. 4.Система багатосторонніх взаємозаліків ,як мінімум, повинні бути здатними забезпечити своєчасне завершення щоденних розрахунків у випадку, коли учасник, що має найбільшу чисту дебіторську позицію, не може виконати розрахунок. 5.Системи багатосторонніх взаємозаліків повинні мати об'єктивні і привселюдні критерії членства, які забезпечують справедливий та відкритий доступ до цих систем. 6.Усі механізми взаємозаліків повинні забезпечувати операційну надійність технічних систем і наявність дублюючих потужностей, здатних задовольнити щоденні потреби в обробці платежів. Ці стандарти були сформульовані для систем взаємозаліку, що обслуговують міжнародні платежі у різних валютах, зокрема грошові перекази великими сумами. Вони поширюються також на внутрішні системи міжбанківських розрахунків на чистій основі.
54.Поняття безпеки ПС: Безпека- можливість протистояти спробам нанесення збитків власникам або користувачам системи при різних впливах (навмисних або ненавмисних) на неї. Це - наявність ресурсів, стійкість системи до помилок при передачі даних і до технічних неполадок або надійність різних елементів системи. під безпекою ПС будемо розуміти захист від: несанкціонованого доступу до інформації; несанкціонованих змін інформації; несанкціонованих операцій з функціями ПС.
55. Забезпечення безпеки ПС: 1. Конфіденційність інформації-властивість інформації бути доступною тільки суб’єктам си-ми,які допущені до цієї інформації. 2.Цілісність компонентів і ресурсів си-ми та інформації-властивість бути незмінними протягом функціонування си-ми 3.Доступність компонентів і ресурсів-властивість бути доступними для використання лише авторизованими суб’єктами си-ми
56. Зовнішня і внутрішня безпека: Зовнішня: -захист від втрати або модифікації си-мою інформації при стих. лихах. -захист си-ми від проникнення, отримання доступу до інформації, виведення си-ми з ладу. Внутрішня-забезпеч.надійної та коректної роботи, цілісності інформації та компонентів. Створення надійних і зручних мех.-мів регламентування діяльності усіх користувачів та обслуговуючого персоналу, підтримання дисципліни доступу до ресурсів си-ми.
57. Підходи: Фрагментарний Позитивна риса-міцний захист щодо конкретної загрози, негативна-локальність дії та відсутність єдиного захищеного середовища для обробки інформації. Комплексний Створення захищеного середовища для обробки платіжної та службової інформації в си-мі, яке об’єднує різноманітні засоби для протидії б-яким загрозам.
58.Етапи створення си-ми захисту: Системи захисту – сукупність заходів, які спрямовані на протидію загрозам для платіжної системи і метою яких є мінімізація можливих збитків користувачів і власників платіжної системи. Створення передбачає чотири основних етапи: 1. Аналіз можливих загроз-це вибір із усієї безлічі можливих випадків на систему лише таких, які реально можуть виникати і наносити значні збитки; 2. Розробка (планування) системи захисту. Вона формується у вигляді єдиної сукупності заходів різного плану для протидії можливим загрозам, тобто: -правові заходи: -морально-етичні заходи; -адміністративні –фізичні –технічні 3. Реалізація системи захисту: виготовляються, обладнуються, встановлюються та настроюються засоби захисту які були заплановані на попередньому етапі. 4. Супроводження системи захисту під час експлуатації платіжної системи.
59. Типи загроз для ПС. Усі загрози можна розподілити, згідно з їхніми характеристиками, на класи: 1) За цілями реалізації загрози: порушення конфіденційності інформації; порушення цілісності, порушення працездатності системи. 2 За принципом впливу на систему: за допомогою доступу до об'єктів системи (файлів, даних, каналів зв'язку); за допомогою прихованих каналів (у тому числі, через роботу з пам'яттю). 3. За характером впливу на систему: • активний вплив • пасивний вплив 4. За причинами появи помилок у системі захисту: некоректність системи захисту, помилки адміністрування системи; помилки в алгоритмах програм, зв'язках між ними тощо, які виникають на етапі проектування; помилки реалізації алгоритмів. 5. За способом впливу на об'єкт атаки: безпосередній вплив на об'єкт атаки, вплив на систему, опосередкований вплив через інших користувачів. 6. За способом впливу на систему: під час роботи в інтерактивному режимі; під час роботи у пакетному режимі. 7. За об'єктом атаки: на систему в цілому; на об'єкти системи з порушенням конфіденційності, цілісності або функціонування об'єктів системи; на суб'єкти системи (процеси користувачів); на канали передачі даних, 8. За засобами атаки, що використовуються: за допомогою штатного програмного забезпечення; за допомогою спеціально розробленого програмного забезпечення. 9. За станом об'єкта атаки: під час зберігання об'єкта (на диску, в оперативній пам'яті тощо) у пасивному стані; під час передачі; під час обробки.
60.Принципи створення системи захисту-конфіденційність, тобто гарантія, що інформація надається тільки авторизованим користувачам; -цілісність, тобто гарантія, що інформація не може бути несанкціоновано змінена; -доступність і безперервність роботи системи, тобто гарантія, що достовірна інформація буде доступна, коли це потрібно Після визначення основних принципів розробки політики безпеки необхідно уважно проаналізувати основні типи загроз, найбільш уразливі місця системи, де вони можуть виникати, та визначити втрати, до яких можуть призводити порушення. Основними типами загроз для платіжних систем є: - неавторизоване проникнення до системи, несанкціонована модифікація або знищення інформації; - ненавмисна модифікація або знищення інформації; - недоставка або помилкова доставка інформації; - затримка або погіршення обслуговування
61. Механізми захисту: 1.Ідентифікація, автентифікація (перевірка ідентифікації користувача, процесу, пристрою або іншого компонента ПС та перевірка цілісності даних) й авторизація усіх суб'єктів та об'єктів ПС а також усієї інформації (надання доступу до об’єктів си-ми після їх автентифікації). 2.Контроль входу користувача. до системи і керування системою паролів. 3.Рестрація, протоколювання й аудит 4. Контроль за цілісністю, тобто захист від несанкціонованої модифікації суб'єктів_системи.. 5.Протидії «збиранню сміття», тобто визначення заходів, які можуть забезпечувати повне звільнення пам’яті від рештків конфіденційної інформації. 6.Контроль за доступом, тобто обмеження можливостей використання ресурсів системи програмами, процесами і користувачами.
62. Функції: - автентифікація користувачів си-ми - неможливість відмови від відправки/отримання платіжного повідомлення; - контроль за цілісністю повідомлення; - забезпечення конфіденційності повідомлення; - керування доступом на кінцевих терміналах системи; - гарантія доставки повідомлення; - неможливість відмови від обробки повідомлення - реєстрація послідовності повідомлень у каналах зв'язку; - контроль за послідовністю повідомленнь; - забезпечення конфіденційності потоку повідомлень.
- 15. Поняття, функції і с-ра системи Клієн-Банк
- 21. Учасники систем масових електронних платежів, їх права та обов'язки
- 22. Схема взаємодії учасників карткових розрах
- 23. Режими взаємодії банку-емітента і процесингового центру
- 25. Заходи захисту платіжних карток від незаконного використання іншими особами
- 26. Обмеження на виконання операцій з використанням платіжних карток в Україні
- 28. Правила документообігу під час здійснення розрахунків за операціями із застосуванням платіжних карток
- 30. Класифікація платіжних карток нсмеп;
- 31. Платіжні додатки карток нсмеп: електронний гаманець, електронний чек
- 32. Взаєморозрахунки в нсмеп
- 34. Функції учасників УкрКарт
- 35. Карткові продукти УкрКарт
- 36. Інтеграція з міжнародними платіжними системами MasterCard Tnt. Та Visa lut.
- 37. Організація платежів у мережі Internet
- 38. Системи масових платежів в мережі Internet (електронні гроші на карткових носіях; серверні он-лайнові схеми електронних грошей)
- 39. Платіжна система PayPal
- 40. Платіжна система Moneybookers
- 44. Банківські автоматизовані клірингові послуги у Великобританії bacs
- 48. Поняття та різновиди ризиків платіжних систем
- 49. Фінансові ризики платіжних систем
- 50. Нефінансові ризики платіжних систем
- 51. Підходи до обмеження ризиків платіжних систем