Методика расчета показателя эффективности противодействия информационным угрозам в платежной системе Текст научной статьи по специальности «Экономика и бизнес»

УДК 004.056

МЕТОДИКА РАСЧЕТА ПОКАЗАТЕЛЯ ЭФФЕКТИВНОСТИ ПРОТИВОДЕЙСТВИЯ ИНФОРМАЦИОННЫМ УГРОЗАМ В ПЛАТЕЖНОЙ СИСТЕМЕ

М.М. Репин, Е.А. Пшехотская

Рассмотрены проблемы оценки экономической эффективности системы информационной безопасности платежной системы и расчета показателя эффективности противодействия информационным угрозам в платежной системе. Предложена и описана методика расчета экономической эффективности системы информационной безопасности и оценки эффективности противодействия информационным угрозам в платежной системе, учитывающая снижение ущерба от реализации угроз информационной безопасности при применении мер защиты информации.

Ключевые слова: оценка экономической эффективности, ущерб, меры защиты, оценка затрат, матрица ущерба, система информационной безопасности, платежная система.

Процесс функционирования платежных систем является составной и неотъемлемой частью работы экономического механизма страны.

Практически любая финансовая операция влечет за собой совершение платежа (расчета) и использование платежной системы. При этом необходимо учитывать то, что более 90% финансовых операций в настоящее время совершается электронным способом.

Значимость надежного и безопасного функционирования электронных платежных систем в последние годы существенно возросла. Данный рост в числе прочего, связан с увеличением объемов сделок на валютном рынке и рынке ценных бумаг, а также резким ростом преступлений, связанных с хищением денежных средств.

Все изложенные аспекты предъявляют серьезные требования к функциям управления электронными платежными системами, обеспечения их информационной безопасности и бесперебойности, готовности опера-

тивного преодоления различных сбоев и отказов в процессе их функционирования.

Таким образом, возникает необходимость в наличии методики, позволяющей проводить как оценку затрат на обеспечение информационной безопасности платежной системы, так и расчет показателя эффективности противодействия информационным угрозам.

Классический подход [4, 6, 7] к расчету затрат на построение системы защиты информации включает в себя определение показателей рентабельности при заданном показателе снижения рисков информационной безопасности без проведения глубокого анализа рисков информационной безопасности, возникающих на различных уровнях инфраструктуры платежной системы.

С точки зрения банковской практики, существует несколько вариантов определения понятия рисков. В российском правовом поле существуют документы, идентифицирующие типичные банковские риски [9], риски платежных систем [8] и расчетные риски [2].

С точки зрения информационной безопасности, наиболее актуальным является операционный риск, связанный с информационными технологиями и относящийся к банковским рискам.

Определение операционного риска в платежных системах представлено в ряде документов Банка России [3, 8]. Согласно им, операционной риск является риском того, что недостатки информационных систем или внутренних процессов, человеческие ошибки, сбои или нарушения приведут к ухудшению или прекращению оказания услуг. Подобные сбои [1, 3] могут вызвать задержки, потери, привести к проблемам с ликвидностью, системным рискам. Они могут влиять на снижение эффективности мер по управлению рисками, например, вследствие ограничения возможностей завершения расчетов или помех контролю и управле-

нию кредитными рисками. Для формирования базиса, позволяющего оценить эффективность противодействия информационным угрозам в платежной системе целесообразно использовать логико-вероятностною модель управления рисками информационной безопасности в платежной системе [5]. Меры защиты информации в данной модели представлены в виде управляющих воздействий, направленных на нейтрализацию соответствующих рисков.

Например, Бу = [йР!,..., йр2] - множество управляющих воздействий на

уровне уязвимостей платежной системы (ПС), Бе = [йе^ ...,йеч}- множество управляющих воздействий на уровне событий в ПС, Б1 = [&!,..., й1у] - множество управляющих воздействий на уровне инцидентов в ПС, = [йз^!, ...,й5П5х] - множество

управляющих воздействий на уровне сценариев в платежной системе. На рисунке 1 представлен процесс обработки рисков информационной безопасности в платежной системе, в зависимости от уровня возникновения.

Рисунок 1. Обработка рисков информационной безопасности

Управляющие воздействия могут иметь превентивный характер, формироваться на основе данных мониторинга, анализа и оценки рисков или реактивный, когда управляющее воздействие формируется на основе данных о реализовавшихся или реализующихся рисках информационной безопасности. На основе полученных результатов формируется сценарий нештатной ситуации (НШС), позволяющий оперативно предпринимать действия по минимизации рисков информационной безопасности, возникающих в платежной системе. Таким образом, фор-

мирование сценариев НШС можно отнести к мерам раннего предупреждения рисков информационной безопасности.

На основе проведенных исследований [4, 6, 7, 10], можно сделать заключение, что в качестве базовой методики с точки зрения оценки экономической эффективности может быть выбрана методика совокупной стоимости владения (Total Cost of Ownership/TCO).

В целом, определение затрат на систему защиты информации подразумевает решение трех следующих вопросов [6, 7]:

оценку текущего уровня TCO системы защиты информации организации и информационной системы в целом;

аудит системы защиты информации организации на основе сравнения уровня затрат организации и рекомендуемого уровня TCO, который устанавливается лучшими мировыми практиками; формирование целевой модели TCO. Для достижения цели необходимо оценить не только затраты на построение и сопровождение системы информационной безопасности, но и возможный риск реализации актуальных угроз, а также потенциальное снижение ущерба с помощью внедряемой системы защиты информации и применяемых мер защиты информации.

Создание системы информационной безопасности с заданными параметрами рентабельности и снижения риска предполагает затраты (C). Учитывая возможность появления различных случайных факторов, затраты на создание системы информационной безопасности можно представить как С = F(C';S;y)- общая стоимость (совокупная стоимость владения - TCO), где:

S - состав применяемых средств защиты информации;

С = + щ • СП - й = 11=! Ci - й;

Переменная C' может принимать отрицательное значение в случае, если сумма предотвращенного ущерба выше затрат на построение системы информационной безопасности.

c_i - стоимость реализации i -ой меры защиты, которая складывается из:

С; = С; + С; = tf; +

1 ^стоимость средства защиты ^прочие расходы 1

п- • С^•

"ч ;

Прогнозируемый ущерб при реализации угроз информационной безопасности:

применения мер защиты:

Суммарный ущерб от реализации угроз

А = 2(=1 ; Матрица прогнозируемого ущерба после

где: а'т,п- прогнозируемый ущерб после применения меры защиты; Мип- угроза информационной безопасности;

Лт- мера защиты информации. Суммарный ущерб от реализации угроз А = X «'¿у, где I = 1 , т, у = 1, п. Щ - капитальные (единовременные) затраты на /-ю меру защиты;

С™ - эксплуатационные затраты на /-ю меру защиты;

П( - количество планируемых лет эксплуатации меры защиты (прогнозируется по результатам анализа развития технических возможностей нарушителя);

= + ^т + ^ + ^е +

- затраты на проектирование меры защиты;

- затраты на технические средства; ^ - затраты на внедрение меры защиты;

- затраты на обучение персонала;

^ - затраты на тестирование меры защиты;

рт _ гт , гт , гт , рт.

Ст

т - зарплата сотрудников, эксплуатирующих меру защиты (служба безопасности);

Ст

т - амортизационные отчисления; с™ - затраты на техническое обслуживание; с™ - прочие затраты;

В соответствии с моделью управления рисками информационной безопасности платежной системы, в качестве мер защиты можно рассматривать управляющие воздействия.

Используя модель управления рисками информационной безопасности в платежной системе [5], основанную на управляющих воздействиях, предложенный метод расчета стоимости можно представить в следующем виде.

Пусть А = - ущерб платежной

системы, полученный в результате несанкционированных списаний, где -

ущерб от реализованной угрозы.

Для оценки потенциальной эффективности управляющих воздействий построим следующие матрицы:

ущерба после применения управляющих воздействий на уровне уязвимостей платежной системы;

- ущерба после применения управляющих воздействий на уровне событий в платежной системе;

- ущерба после применения управляющих воздействий на уровне инцидентов в платежной системе;

- ущерба после применения управляющих воздействий на уровне сценариев в платежной системе.

Матрицы ущерба после применения управляющих воздействий:

I I

Я 5

Я !Н

¡3 «

м со О

и* я

йег ... йеь

Аеа я'м

я\ъ

Ч аЬ

Я''ь,у - ущерб после применения управляющего воздействия на уровне инцидентов.

Тогда суммарный ущерб после применения управляющих воздействий на уровне инцидентов А3 = £ где / = 1, с,у = 1 ,у.

Сценарии

& § а е

о

ш эН

з а

^ э

к ™

о я

V

„т

1 ц и

Я Р1

Я 12

л'"

Я рг

Чр,г - ущерб после применения управляющего воздействия на уровне уязвимостей.

Тогда суммарный ущерб после применения управляющих воздействий на уровне уязвимостей А1 = Ц (/¿у, где / = 1, р, ] = 1, г.

События

Я'' -ущерб после применения

управляющего воздействия на уровне сценариев.

Тогда суммарный ущерб после применения управляющих воздействий на уровне сценариев А4 я'''¿у, где I = 1,р,} = 1,г.

Общий ущерб после применения управляющих воздействий на всех уровнях будет Ад1оЬа1 = 2,1=1А1.

По отношению к платежной системе целесообразно определить следующий показатель эффективности противодействия информационным угрозам в платежной системе:

к

Е

БИ = ^-х 100%, где

к

К - количество рабочих дней в отчетном году;

"к

итве к ,

^к = Jt

, где

Я'а.ь - ущерб после применения управляющего воздействия на уровне событий.

Тогда суммарный ущерб после применения управляющих воздействий на уровне событий А2 = 2 я\), где / = 1, а,} = 1 , Ь.

Инциденты

Е $

ои к ,1

1к - количество участников платежной системы в к-ый рабочий день;

8к,1Цтес - сумма, списанная со счета /-го участника платежной системы в течение к-го рабочего дня, в отношении которой получены уведомления от /-го участника платежной системы о списании денежных средств с его счета без его согласия, за исключением случаев, предусмотренных законодательством Российской Федерации или договором счета.

1=1

Таким образом, может быть получена

в результате реализации угрозы или угроз на одном или нескольких уровнях воздействия.

fcj£ - прогнозируемая сумма нелегального списания при применении управляющих воздействий.

y'fc rsec _ л

_ -"^iobai;

v7fc osec .

Тогда - , ut - , ,

yft

5F/bp - • 100%.

К

сумма операций по списанию

S

k ,i

денежных средств со счета /-го участника платежной системы в течение к-го рабочего дня.

Показатель эффективности

противодействия информационным угрозам в платежные системы принимает значения от 0 до 100, выраженные в процентах.

Если расчетное значение показателя эффективности противодействия

информационным угрозам в платежной системе находится в диапазоне от 0 до 8Е1Ьр (включительно), то эффективность противодействия информационным угрозам в платежной системе признается приемлемой.

Если расчетное значение показателя эффективности противодействия

информационным угрозам в платежной системе находится в диапазоне от 8Е1Ьр до 100% (включительно), то эффективность противодействия информационным угрозам в платежной системе признается неприемлемой.

8Е1Ьр - пороговое значение показателя 8Е1, при превышении которого эффективность противодействия информационным угрозам в платежной системе признается неприемлемой.

Расчет порогового значения целесообразно осуществлять на основе прогнозируемого ущерба

(несанкционированного списания средств) после применения управляющих

воздействий на всех уровнях.

Вторым показателем, характеризующим функционирование платежной системы,

является показатель эффективности

восстановления оказания услуг платежной инфраструктуры платежной системы (далее -показатель восстановления оказания услуг):

IRS = х100%, где

I com

I . - количество событий, которые привели к

нарушению надлежащего оказания услуг платежной инфраструктуры, в том числе вследствие нарушения требований к обеспечению защиты информации при осуществлении переводов денежных средств (инциденты), произошедших в течение отчетного года у всех операторов услуг платежной инфраструктуры платежной системы, для которых период времени с момента приостановления (прекращения) оказания услуг платежной инфраструктуры и до момента восстановления оказания услуг в рамках платежной системы не превысил установленного порогового значения;

I - общее количество инцидентов, произошедших в течение отчетного года, в результате которых приостанавливалось (прекращалось) оказание услуг платежной инфраструктуры платежной системы.

Показатель эффективности восстановления оказания услуг платежной инфраструктуры ПС принимает значения от 0 до 100, выраженные в процентах.

В случае если I =0, значение показателя IRS признается превышающим целевое значение.

Если расчетное значение показателя восстановления оказания услуг больше или равно целевому значению IRSgoal, то в отношении эффективности восстановления оказания услуг платежной инфраструктуры платежной системы признается

результативной.

С точки зрения анализа рисков, целесообразно ввести оценку уровня операционного риска в платежной системе:

12

ICFI =

Л ( 12 12 Л 12* n *FIn -[Z n * Z FIn

У V n=1 n=1 У

Я=1

| 12 |2

12

z

n

12*1Zn'

V n=1 у V n=1

где n={1,2, ...12} - порядковый номер месяца в отчетном году;

out

2

МП

Еу/п

^^ п

р/ = т=_

М.

, где

М„ - количество рабочих дней в п-ом месяце отчетного года;

У1„.т - количество инцидентов в течение т-го рабочего дня п-го месяца отчетного года;

р/п - среднедневное количество инцидентов в течение п-го месяца.

Если расчетное значение показателя изменения уровня операционного риска в платежной системе меньше целевого значения то система управления

рисками в отношении управления операционным риском признается результативной. Показатель изменения уровня правового

риска в платежной системе:

{ 12 л /12

12*

/СРС =

12 12 12 Е п *УСп - Е П * Е ус.

v п=1

Л

V п=1

12*

12

Е '

Л

2

П

V п=1 У

12 2 (Е П

V п=1 .

где „ = {1,2,3 ...12} - порядковый номер месяца в отчетном году;

УСП - количество обращений участников платежной системы, свидетельствующих о наличии правовых коллизий и (или) правовой неопределенности в отдельных положениях правил платежной системы, количество досудебных споров с участниками платежной системы по вопросам, связанным с предоставлением операционных услуг, услуг платежного клиринга, расчетных услуг в рамках платежной системы по причине правовой неопределенности в правилах платежной системы.

В данной работе целесообразно рассматривать УСП как количество обращений участников платежной системы, связанных с правовыми спорами, вызванными подозрениями на

несанкционированное списание средств со счетов участников платежной системы.

Если расчетное значение показателя изменения уровня правового риска в платежной системе меньше целевого

значения то система управления

рисками в отношении управления правовым риском признается результативной.

Доля показателей платежной системы, для которых их расчетные значения превысили или не превысили (в зависимости от показателя) целевые значения,

установленные для данных показателей, от общего количества показателей

результативности рассчитывается по следующей формуле:

р/ = _Ор_ х100% , где

Qpi

л^-Г сот

Qpi - количество показателей платежной системы, для которых их расчетные значения превысили или не превысили (в зависимости от показателя) целевые значения, установленные для данных показателей;

Qpicom - общее количество показателей результативности.

Таким образом, повышение значения Р1 показывает о снижении общего уровня информационной безопасности платежной системы.

Общий уровень эффективности обеспечения информационной безопасности платежной системы оценивается

посредством определения степени рациональности использования ресурсов (финансовых, технологических, трудовых и других) для обеспечения бесперебойного и безопасного функционирования платежной системы.

Платежная система признается безопасной, если доля показателей платежной системы, для которых их расчетные значения находятся в диапазоне значений, соответствующих приемлемым уровням, и составляет не менее 75% от общего количества показателей платежной системы.

В тоже время, необходимо ввести условие гарантированного выполнения показателя SF/, как основополагающего показателя, характеризующего уровень

информационной безопасности платежной системы.

Таким образом, рассмотрены проблемы

п=1

оценки эффективности противодействия информационным угрозам в платежной системе. Предложена и описана методика расчета экономической эффективности системы информационной безопасности и оценки эффективности противодействия информационным угрозам в платежной системе, учитывающая снижение ущерба от реализации угроз информационной безопасности при применении мер защиты информации.

Именно использование предложенной методики позволяет построить

экономически обоснованную систему информационной безопасности с учетом влияния различных факторов и угроз информационной безопасности на всех уровнях функционирования платежной системы.

Список литературы

1. Письмо Банка России от 29.06.2012 № 94-Т «О документе Комитета по платежным и расчетным системам "Принципы для инфраструктур финансового рынка» [Электронный ресурс]. - Режим доступа: http://www.consultant.ru/document/cons_doc_ LAW_132828/

2. Положение Банка России от 16 декабря 2003 года № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах» [Электронный ресурс]. - Режим доступа: http://base.garant.ru/584330/

3. Положение Банка России от 31 мая 2012 года № 379-П «О бесперебойности функционирования платежных систем и анализе рисков в платежных системах» [Электронный ресурс]. - Режим доступа: http://www.garant.ru/products/ipo/prime/doc/ 70090418/

4. Репин М. М. Анализ применимости существующих методов оценки рисков в области информационной безопасности [Текст] / М. М. Репин, Е. А Пшехотская, А. С. Плоткин, А. А. Кривоногов // Системный администратор. -2018. - №1-2. - С. 182-183.

5. Репин, М. М. Модель управления рисками информационной безопасности в платежной системе [Текст] / М. М. Репин //

Информация и инновации. - 2016. - № 1. С. 102-105.

6. Репин, М. М. Построение модели оценки экономической эффективности системы информационной безопасности [Текст] / М. М. Репин, А. В. Сакулина, Е. А. Пшехотская // Научно-методическое обеспечение оценки качества образования. - 2017. - № 2 (3). - С. 80-84.

7. Репин, М. М. Приоритеты финансирования задач IT, телекома и информационной безопасности [Текст] / М. М. Репин // IT-SECURITY. Системы и средства защиты информации. - 2009. - №1. -С. 23.

8. Федеральный закон Российской Федерации от 27 июня 2011 г. № 162-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «О национальной платежной системе» [Электронный ресурс]. -Режим доступа: http://www.consultant.ru/ document/cons_doc_LAW_115626/

9. Федеральный закон Российской Федерации от 27 июня 2011 года № 161- ФЗ «О национальной платежной системе» [Электронный ресурс]. - Режим доступа: http://www.consultant.ru/document/cons_doc_ LAW_115625/

10. Repin M., Mikhalsky O., Pshehotskaya E., Architecture of Transaction Monitoring System of Central Banks, Scenario Probabilistic Logic Models for Detecting Fraud Activity via Payment Systems of Central Banks// Proceedings of the International Conference «Actual Issues of Mechanical Engineering» (AIME), Advances in Engineering Research. 2017. vol. 133. P. 654-658.

References

1. Pis'mo Banka Rossii ot 29.06.2012 № 94-T «O dokumente Komiteta po platezhnym i raschetnym sistemam "Printsipy dlya infrastruktur finansovogo rynka» [EHlektronnyy resurs]. - Rezhim dostupa: http://www.consultant.ru/document/cons_doc_ LAW_132828/

2. Polozhenie Banka Rossii ot 16 dekabrya 2003 goda № 242-P «Ob organizatsii vnutrennego kontrolya v kreditnyh organiza-

tsiyah i bankovskih gruppah» [EHlektronnyy resurs]. - Rezhim dostupa:

http://base.garant.ru/584330/

3. Polozhenie Banka Rossii ot 31 maya 2012 goda № 379-P «O bespereboynosti funktsionirovaniya platezhnyh sistem i analize riskov v platezhnyh sistemah» [EHlektronnyy resurs]. - Rezhim dostupa: http://www.garant.ru/products/ipo/prime/doc/7 0090418/

4. Repin M. M. Analiz primenimosti sushchestvuyushchih metodov otsenki riskov v oblasti informatsionnoy bezopasnosti [Tekst] /M. M. Repin, E. A Pshekhotskaya, A. S. Plotkin, A. A. Krivonogov // Sistemnyy administrator. - 2018. - №1-2. - S. 182-183.

5. Repin, M. M. Model' upravleniya riskami informatsionnoy bezopasnosti v platezhnoy sisteme [Tekst] / M. M. Repin // Informatsiya i innovatsii. - 2016. - № 1. S. 102-105.

6. Repin, M. M. Postroenie modeli otsenki ehkonomicheskoy ehffektivnosti sistemy informatsionnoy bezopasnosti [Tekst] / M. M. Repin, A. V. Sakulina, E. A. Pshekhotskaya // Nauchno-metodicheskoe obespechenie otsenki kachestva obrazovaniya. - 2017. - № 2 (3). -S. 80-84.

7. Repin, M. M. Prioritety finansirovaniya zadach IT, telekoma i informatsionnoy bezopasnosti [Tekst] / M. M. Repin // IT-SECURITY. Sistemy i sredstva zashchity informatsii. - 2009. - №1. - S. 23.

8. Federal'nyy zakon Rossiyskoy Federatsii ot 27 iyunya 2011 g. № 162-FZ «O vnesenii izmeneniy v otdel'nye zakonodatel'nye akty Rossiyskoy Federatsii v svyazi s prinyatiem Federal'nogo zakona «O natsional'noy platezhnoy sisteme» [EHlektronnyy resurs]. -Rezhim dostupa: http://www.consultant.ru/

document/cons_doc_LAW_115626/

9. Federal'nyy zakon Rossiyskoy Federatsii ot 27 iyunya 2011 goda № 161-FZ «O natsional'noy platezhnoy sisteme» [EHlektronnyy resurs]. - Rezhim dostupa: http://www.consultant.ru/document/cons_doc_ LAW_115625/

10. Repin M., Mikhalsky O., Pshehotskaya E., Architecture of Transac-tion Monitoring System of Central Banks, Scenario Probabilistic Logic Models for Detecting Fraud Activity via Payment Systems of Central Banks// Proceed-ings of the International Conference «Actual Issues of Mechanical Engineering» (AIME), Advances in Engineering Research. 2017. vol. 133. P. 654658.

Сведения об авторах Репин Максим Михайлович -

преподаватель, Московский

политехнический университет, направление «Информационная безопасность», г. Москва Пшехотская Екатерина Александровна - к.ф.н., доцент факультета информатики и систем управления, руководитель образовательной программы «Безопасность перспективных информационных систем», Московский политехнический университет, г. Москва

Information about author

Repin M.M. - University lecturer, Moscow Polytechnic University

Pshehotskaya EA. - PhD. in Linguistics, Associate professor Faculty of Informatics and Control systems, chair of educational program «Information systems security», Moscow Polytechnic University