Контакты
Подписка
МЕНЮ
Контакты
Подписка

PCI DSS – проблемы применения стандарта

PCI DSS – проблемы применения стандарта

В рубрику "Право и нормативы" | К списку рубрик  |  К списку авторов  |  К списку публикаций

PCI DSS – проблемы применения стандарта

Несмотря на то что стандарт PCI DSS (далее - стандарт) существует уже не первый год (его первая редакция увидела свет в 2004 г.), проблемы его применения остались и по сей день. Попробуем понять, какие проблемы стоят перед компаниями на разных этапах проекта по достижению соответствия. Для этого вначале коротко опишем основные этапы работ.
Михаил Плахута
заместитель руководителя направления аудита и консалтинга компании LETA IT-company
Сергей Федотов
старший консультант по информационной безопасности CISSP, QSA, Sysnet Global Solutions no России и странам СНГ

Итак, из чего же состоит комплексный проект по достижению соответствия? Выделим его основные этапы:

  1. Анализ несоответствий.
  2. Устранение несоответствий.
  3. Сертификационный аудит.
  4. Поддержание соответствия.

Остановимся на каждом из этапов подробнее и постараемся рассказать об имеющихся подводных камнях на пути внедрения PCI DSS.

Анализ несоответствий, или Начинать всегда тяжело

Целью данного этапа работ является выявление у заказчика всех несоответствий требованиям стандарта и подготовка плана по их устранению.

В нашей стране далеко не все организации, подпадающие под требования стандарта, не то что не получили статус PCI Compliance, более того, некоторые кредитные организации еще не начали проекты по PCI DSS, мотивируя это тем, что "платежные системы не будут рубить сук на котором сидят". И это отчасти верно – Visa и Master Card с большой осторожностью подходят к вопросам, связанным с возможными штрафами, особенно если речь идет о крупных игроках рынка.

Работы данного этапа обычно начинаются с определения границ области оценки. Здесь-то и таится первый камень. В любой организации аудитор воспринимается как чужак – как человек, который ищет недоработки коллектива компании. И сотрудники неосознанно пытаются от этого защититься. Впрочем, здесь ситуация скорее противоположная. Задача этого этапа – выявление максимального количества проблем и несоответствий, чтобы в ходе последующих работ все они были решены и не возникло неприятных сюрпризов в ходе сертификационной проверки.

Кроме того, на этапе подготовки плана по устранению несоответствий возникает сразу несколько затруднений.

Во-первых, стандарт – "уроженец" США и его "заточенность" под американский рынок и принципы ведения карточного бизнеса сложно оспорить. Соответственно далеко не всегда он на 100% применим к нашей российской действительности.

Во-вторых, отсутствие официального перевода PCI DSS на русский язык. Как показывает практика, эта проблема достаточно актуальна и связана она не со знанием английского языка, а с различным толкованием стандарта не только среди проверяемых, но и среди аудиторов. Даже гуру в области информационной безопасности карточного бизнеса не всегда сходятся во мнениях и по-разному толкуют те или иные положения стандарта.

В-третьих, отметим отсутствие жесткой штрафной политики платежных систем по отношению к организациям, не выполняющим требования стандарта. С одной стороны, оно и понятно – платежные системы не заинтересованы в чересчур сильном давлении на своих клиентов. Но с другой – отсутствие в нашей стране прецедентов наложения штрафов, безусловно, не добавляет энтузиазма руководству компаний по выделению бюджетов на достижение соответствия.

Таким образом, все эти обстоятельства уже на старте охлаждают пыл внедрения стандарта.

Устранение несоответствий, или Консультант и интегратор – 2 в 1

Мы идем своим путем, и наш отечественный рынок PCI DSS не отстает. Довольно часто мы сталкиваемся с тем, что одна и та же компания выступает в нескольких ролях – она и консультант/аудитор, контролирующий выполнение требований стандарта, и интегратор, устраняющий выявленные несоответствия. В итоге эта же компания проводит сертификационный аудит, то есть проверяет, насколько хорошо она реализовала те или иные требования. И как вы считаете, как такой подход может отразиться на качестве и, главное, на объективности проводимых работ?

Не зря ведь был сформирован принцип разделения полномочий: аудитор не может проверять то, что сам сделал.

Как американские, так и европейские QSA-компании уже давно соблюдают этот принцип, позиционируя себя исключительно как консалтинговые компании, предоставляющие услуги по оценке выполнения требований, но не реализующие этап приведения в соответствие. И уж тем более они не продвигают решения того или иного вендора и сами не являются таковыми. А теперь посмотрите, что происходит в России – "мы сами выявим несоответствия, устраним их путем внедрения наших разработок, после чего сертифицируем". Как при таком подходе избежать конфликта интересов и соблюсти принцип разделения полномочий? Это и есть основная проблема – аудитор не может проверять самого себя.

Сертификационный аудит – финишная прямая?

Но ведь все мы в душе идеалисты, не правда ли? Представим себе, что проект реализовывался по всем канонам: аудиторы провели анализ несоответствий, независимо от них (но под их надзором) был реализован этап устранения несоответствий. Компания выходит на сертификационный аудит.

С каждым месяцем все больше компаний заявляют об успешном прохождении аудитов и получении заветного статуса PCI Compliance. Причем среди этих компаний не только банки и про-ессинговые центры, но и торговые организации.

Во избежание сюрпризов хорошей практикой является проведение предсертификационной проверки, которая позволит оценить эффективность проведенных работ по устранению несоответствий. Такая проверка является "генеральной репетицией" сертификационного аудита и дает компании возможность как устранить оставшиеся несоответствия, так и подготовиться к процессу аудита.

И вот завершающая стадия – сертификационный аудит. Все имевшиеся несоответствия устранены либо на этапе исправления, либо после предсертификационной проверки. Аудитору представлены результаты успешных сканирований на наличие уязвимостей, проведенных компанией, имеющей статус ASV (Approved Scanning Vendor). Компания QSA, проводящая аудит, готовит отчет о соответствии (Report on Compliance) и аттестацию соответствия (Attestation of Compliance), которые направляются эквайеру или в платежную систему. И в результате – долгожданный сертификат. Можно успокоиться и считать проект успешно завершенным? Нет! Поддержание соответствия стандарту PCI DSS – не проект, а процесс. Большинство организаций должны проходить сертификационный аудит ежегодно и в течение года проводить ряд мероприятий, направленных на поддержание соответствия.

Поддержание соответствия

Как было сказано выше, существует ряд процедур, которые необходимо выполнять для поддержания статуса соответствия стандарту. Необходимо упомянуть, что аудитор QSA или (VISA или MasterCard) Qualified Forensic Investigator должен удостовериться в выполнении указанных процедур на протяжении всего года (с момента последней проверки) в случае проведения on-site-аудита или расследования по факту компрометации данных о платежных картах. Итак, что же должно выполняться организацией:

  • Ежегодная формальная оценка рисков, включающая технологические риски и риски, относящиеся к PCI.
  • Ежегодное обследование механизмов обеспечения безопасности.
  • Проведение ежегодных тестов на проникновение.
  • Проведение ежеквартального внутреннего сканирования на уязвимости.
  • Проведение ASV организацией ежеквартального внешнего сканирования на уязвимости.
  • Формальное периодическое обучение сотрудников, задействованных в обеспечении функционирования PCI-систем, информационной безопасности.
  • Ежегодное проведение тренингов для нетехнического персонала организации основам информационной безопасности.
  • Периодическое тестирование процедур реагирования на инциденты.

Выводы

В заключение стоит отметить, что с каждым месяцем все большее число компаний в России заявляют об успешном прохождении аудитов и получении заветного статуса PCI Compliance. И основным мотивом соответствия все же являются не штрафные санкции со стороны платежных систем, а стремление защитить данные держателей карт и имидж компании.

Не следует опасаться затрат и усилий на достижение соответствия стандарту – с помощью квалифицированной проектной команды (QSA-компании, а также компетентного интегратора) вы обойдете все подводные камни и обеспечите необходимый уровень информационной безопасности ваших систем, достигнув соответствия требованиям международных стандартов.

Не стоит забывать, что задача проектной команды – не вскрыть ваши недостатки, а выявить несоответствия и помочь вам их устранить.

Выбирая команду, не забывайте о принципе разделения полномочий. Два (или даже три) в одном (QSA, интегратор и вендор) – в этом случае не лучший вариант, если, конечно, ваша цель не сертификат ради сертификата.

Ни для кого не секрет, что стандарт пришел к нам из США, где большинство компаний, осуществляющих обработку, хранение и передачу данных держателей платежных карт (ДДК), уже соответствуют требованиям PCI DSS. К таким компаниям относятся процес-синговые центры, банки, торговые организации (мерчанты), а также сервис-провайдеры (любые сторонние компании, предоставляющие услуги по обработке, передаче или хранению ДДК в платежной системе или ее отдельным участникам).

Основная задача PCI DSS-проекта – не ежегодное проведение аудитов, а достижение требуемого стандартом уровня информационной безопасности, подтверждением которого является успешный аудит. Поэтому, планируя проект, правильно поставьте цель – проектная команда должна провести вашу компанию через все этапы вплоть до получения сертификата соответствия.

И наконец, отметим, что поддержание соответствия стандарту PCI DSS – процесс, которым необходимо управлять, выполняя целый ряд мероприятий, результатом которых будет заветный PCI Compliance.

Комментарий эксперта

Евгений Болотин
главный специалист управления информационной безопасности ОАО " Россельхозбанк"

Подтверждение соответствия требованиям стандарта PCI DSS создает для банка дополнительное конкурентное преимущество за счет положительной оценки со стороны международных платежных систем, а также свидетельствует о том, что в банке созданы условия для минимизации операционных и репутационных рисков в части процесса обслуживания платежных карт. Но не стоит забывать, что ключевым звеном в построении надежной системы обеспечения информационной безопасности по-прежнему является человек, а не машина, причем, как показывает практика, человек является самым слабым звеном в защите. С небрежностью, недостаточной компетентностью и безответственностью персонала связано сегодня 80% нарушений информационной безопасности любой компании. Резюмируя вышесказанное, PCI Compliance – все же не самоцель, а лишь подтверждение того, что в компании уделяют должное внимание процессу обеспечения информационной безопасности.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2011

Приобрести этот номер или подписаться

Статьи про теме