51. Підходи до обмеження ризиків платіжних систем

Найбільш розповсюджені у платіжних системах економічно розвинених країн такі підходи до проблеми обмеження фінансових ризиків:

1. Обмеження обсягу розрахунків.

2. Забезпечення надійності розрахунків.

3. Попередній відбір учасників системи (врахування фінансового стану, технічних та операційних можливостей, обсягу розрахункових платежів).

4. Нагляд за платіжною поведінкою-учасників, чий критичний стан відомий (передбачає наявність певного вихідного рівня фінансової надійності учасників системи, а також надійних засобів контролю в рамках режиму нагляду).

5. Контроль за ризиками в системах взаємного зарахування великих сум платежів.

6. Запобігання шахрайству. Основні сфери, де повинні вживатися заходи щодо зміцнення системи - це керівний склад, персонал платіжної системи, програмно-техпічне забезпечення. Вірогідність шахрайства і помилок у системі зменшується при зменшенні частки ручної обробки платіжної інформації.

Існують 2 підходи до проблем обмеження фін.ризику: 1.спрямований на обмеження обсягу розрахунків: -юрид.підхід-сприяє забезпеч. Визначеності правого статусу кінцевої чистої позиції -процедурний-проведення протягом дня більш як одного розрахункового циклу -динамічний-створення механізму черговості за допом.якого можна задати протягом дня оптимальний обсяг необхідної суми розрахунків. 2.спрямований на забезпечення надійності розрахунку шляхом: - забезпечення остаточних платежів за кожною трансакцією в режимі реального часу; -можливість використання заставного забезпечення , зо надається учасниками; -використання механізму розподілу збитків між іншими учасниками. Серед інших методів управління ризиками виділяють: 3.Попередній відбір учасників системи; 4.Контроль за ризиком у разі систем взаємного зарахування великих сум платежів; 5.Забезпечення ЦБ ліквідності в си-мі; 6.Вибір си-ми розрахунків на валовій або чистій основі; 7.Створення ефективних механізмів міжбанківських позик; 8.Запобігання шахрайству. Си-ма має бути раціональною, передбачуваною та захищеною від зазіхань. 9.Стандартизація платіжної інформації та технології.

52. Принципи, що застосовуються в процесі розробки і реалізації заходів боротьби з ризиком у платіжних системах. До них належать, зокрема, такі: 1)рішення мають відповідати ринковим вимогам; 2)ризиком повинні управляти ті, хто має найкращі можливості роби­ти це з мінімальними витратами; 3)слід виявляти гнучкість у визначенні шляхів досягнення поставле­ної мети; 4)вирішення технічних питань; 5) використані заходи повинні стимулювати найбільш економічні ви­рішення проблеми управління ризиком; 6) бажане оприлюднення частоти помилок, а також централізований аналіз парамет­рів та причин помилок; 7) жодна окрема особа не повинна мати повноваження затверджувати (вводити) і надсилати платіжні інструкції; 8) слід звести до мінімуму можливості вносити зміни в платіжні інст­рукції та платіжну інформацію; 9) необхідна періодична перевірка заходів протидії шахрайству із внесенням необхідних змін у платіжний процес.

53.Стандарти Ламфалуссі. Ці стандарти, що встановлюють мінімальні нормативні вимоги до структури і операцій систем взаємозаліку, мають назву за ім’ям колишнього голови Банку міжнародних розрахунків. У них сформульовані такі умови: 1.Механізми взаємозаліку вимог повинні мати добре обґрунтовану правову базу в усіх відповідних юрисдикціях.

2.Учасники механізму взаємозаліку вимог повинні чітко уявляти собі вплив конкретного механізму на всі види фінансових ризиків, які існують у процесі взаємозаліку. 3.У системах багатостороннього взаємозаліку повинні існувати чіт­ко сформульовані процедури управління кредитними ризиками та ризиками ліквідності, які б визначали відповідні обов'язки ргані­затора й учасників взаємозаліків; крім того, процедури мають передбачати встановлення максимального рівня кредитного ризику, який може бути створений кожним учасником. 4.Система багатосторонніх взаємозаліків ,як мінімум, повинні бу­ти здатними забезпечити своєчасне завершення щоденних роз­рахунків у випадку, коли учасник, що має найбільшу чисту дебіторську позицію, не може виконати розрахунок. 5.Системи багатосторонніх взаємозаліків повинні мати об'єктивні і привселюдні критерії членства, які забезпечують справедливий та відкритий доступ до цих систем. 6.Усі механізми взаємозаліків повинні забезпечувати операційну надійність технічних систем і наявність дублюючих потужностей, здатних задовольнити щоденні потреби в обробці платежів. Ці стандарти були сформульовані для систем взаємозаліку, що обслу­говують міжнародні платежі у різних валютах, зокрема грошові перекази великими сумами. Вони поширюються також на внутрішні системи міжбанківських розрахунків на чистій основі.

54.Поняття безпеки ПС: Безпека- можливість протистояти спробам нанесення збит­ків власникам або користувачам системи при різних впливах (навмисних або ненавмисних) на неї. Це - наявність ресурсів, стійкість системи до помилок при передачі даних і до технічних неполадок або надійність різних елементів системи. під безпекою ПС будемо розуміти захист від: несанкціонованого доступу до інформації; несанкціонованих змін інформації; несанкціонованих операцій з функціями ПС.

55. Забезпечення безпеки ПС: 1. Конфіденційність інформації-властивість інформації бути доступною тільки суб’єктам си-ми,які допущені до цієї інформації. 2.Цілісність компонентів і ресурсів си-ми та інформації-властивість бути незмінними протягом функціонування си-ми 3.Доступність компонентів і ресурсів-властивість бути доступними для використання лише авторизованими суб’єктами си-ми

56. Зовнішня і внутрішня безпека: Зовнішня: -захист від втрати або модифікації си-мою інформації при стих. лихах. -захист си-ми від проникнення, отримання доступу до інформації, виведення си-ми з ладу. Внутрішня-забезпеч.надійної та коректної роботи, цілісності інформації та компонентів. Створення надійних і зручних мех.-мів регламентування діяльності усіх користувачів та обслуговуючого персоналу, підтримання дисципліни доступу до ресурсів си-ми.

57. Підходи: Фрагментарний Позитивна риса-міцний захист щодо конкретної загрози, негативна-локальність дії та відсутність єдиного захищеного середовища для обробки інформації. Комплексний Створення захищеного середовища для обробки платіжної та службової інформації в си-мі, яке об’єднує різноманітні засоби для протидії б-яким загрозам.

58.Етапи створення си-ми захисту: Системи захисту – сукупність заходів, які спрямовані на протидію загрозам для платіжної системи і ме­тою яких є мінімізація можливих збитків користувачів і власників платіж­ної системи. Створення передбачає чотири основних етапи: 1. Аналіз можливих загроз-це вибір із усієї безлічі можливих випадків на систему лише таких, які реально можуть виникати і наносити значні збитки; 2. Розробка (планування) системи захисту. Вона формується у вигляді єдиної сукупності заходів різного плану для протидії можливим загрозам, тобто: -правові заходи: -морально-етичні заходи; -адміністративні –фізичні –технічні 3. Реалізація системи захисту: виготовляються, обладнуються, встановлюються та настроюються засоби захисту які були заплановані на попередньому етапі. 4. Супроводження системи захисту під час експлуатації платіжної системи.

59. Типи загроз для ПС. Усі загрози можна розподілити, згідно з їхніми характеристиками, на класи: 1) За цілями реалізації загрози: порушення конфіденційності інформації; порушення цілісності, порушення працездатності системи. 2 За принципом впливу на систему: за допомогою доступу до об'єктів системи (файлів, даних, кана­лів зв'язку); за допомогою прихованих каналів (у тому числі, через роботу з пам'яттю). 3. За характером впливу на систему: • активний вплив • пасивний вплив 4. За причинами появи помилок у системі захисту: некоректність системи захисту, помилки адміністрування системи; помилки в алгоритмах програм, зв'язках між ними тощо, які виникають на етапі проектування; помилки реалізації алгоритмів. 5. За способом впливу на об'єкт атаки: безпосередній вплив на об'єкт атаки, вплив на систему, опосередкований вплив через інших користувачів. 6. За способом впливу на систему: під час роботи в інтерактивному режимі; під час роботи у пакетному режимі. 7. За об'єктом атаки: на систему в цілому; на об'єкти системи з порушенням конфіденційності, цілісності або функціонування об'єктів системи; на суб'єкти системи (процеси користувачів); на канали передачі даних, 8. За засобами атаки, що використовуються: за допомогою штатного програмного забезпечення; за допомогою спеціально розробленого програмного забезпечення. 9. За станом об'єкта атаки: під час зберігання об'єкта (на диску, в оперативній пам'яті то­що) у пасивному стані; під час передачі; під час обробки.

60.Принципи створення системи захисту-конфіденційність, тобто гарантія, що інформація надається тільки авторизованим користувачам; -цілісність, тобто гарантія, що інформація не може бути несанкціо­новано змінена; -доступність і безперервність роботи системи, тобто гарантія, що достовірна інформація буде доступна, коли це потрібно Після визначення основних принципів розробки політики безпеки не­обхідно уважно проаналізувати основні типи загроз, найбільш уразливі місця системи, де вони можуть виникати, та визначити втрати, до яких можуть призводити порушення. Основними типами загроз для платіжних систем є: - неавторизоване проникнення до системи, несанкціонована моди­фікація або знищення інформації; - ненавмисна модифікація або знищення інформації; - недоставка або помилкова доставка інформації; - затримка або погіршення обслуговування

61. Механізми захисту: 1.Ідентифікація, автентифікація (перевірка ідентифікації користувача, процесу, пристрою або іншого компонента ПС та перевірка цілісності даних) й авторизація усіх суб'єктів та об'єктів ПС а також усієї інформації (надання доступу до об’єктів си-ми після їх автентифікації). 2.Контроль входу користувача. до системи і керування системою паролів. 3.Рестрація, протоколювання й аудит 4. Контроль за цілісністю, тобто захист від несанкціонованої модифікації суб'єктів_системи.. 5.Протидії «збиранню сміття», тобто визначення заходів, які можуть забезпечувати повне звільнення пам’яті від рештків конфіденційної інформації. 6.Контроль за доступом, тобто обмеження можливостей використан­ня ресурсів системи програмами, процесами і користувачами.

62. Функції: - автентифікація користувачів си-ми - неможливість відмови від відправки/отримання платіжного по­відомлення; - контроль за цілісністю повідомлення; - забезпечення конфіденційності повідомлення; - керування доступом на кінцевих терміналах системи; - гарантія доставки повідомлення; - неможливість відмови від обробки повідомлення - реєстрація послідовності повідомлень у каналах зв'язку; - контроль за послідовністю повідомленнь; - забезпечення конфіденційності потоку повідомлень.