PCI DSS / PA DSS: как это будет по-русски?

В ЧЕМ ПРИЧИНА?

Большинство защитных механизмов, обозначенных в стандарте, являются общесистемными и не включают специфику, связанную с ПС. Это могло бы вызвать удивление, если бы не тот факт, что наиболее широко используемые пластиковые карты с магнитной полосой с современной точки зрения не содержат ни одного эффективного защитного механизма. В наиболее вопиющем случае – платеже через онлайн-систему – вся необходимая для проведения многократных платежей информация передается через цепочку серверов и приложений. Наличие уязвимостей в любом из них может привести к нарушению целостности (подмена платежа) или конфиденциальности (повторные несанкционированные платежи) данных. Улучшить ситуацию без кардинального пересмотра принципов функционирования платежных систем невозможно, а внедрение новых технологий, таких как чиповые пластиковые карточки, происходит достаточно медленно.

В результате мы имеем ситуацию, когда элемент trustedcomputingbaseфактически отсутствует или распределен по множеству информационных систем с разным уровнем защищенности: от клиентского компьютера, банкомата или POS-терминала до серверов платежной системы.

В результате достижение задачи стандарта – снижение фрода в теории – является следствием повышения защищенности всех ИС, передающих, обрабатывающих или хранящих платежную информацию. А это весьма непросто и практически недостижимо.

НАСКОЛЬКО ЭФФЕКТИВЕН?

Несмотря на фундаментальные проблемы современных ПС, меры, предусмотренные PCI DSS, и построенная система контролирующих и карательных механизмов положительно сказываются на общем уровне компьютерной безопасности большинства BC, обрабатывающих платежную информацию. Это в свою очередь снижает вероятность реализации типовых атак (см. рис. 1), поскольку на настоящий момент они носят общесистемный характер. Что, несомненно, является позитивным фактом.

 

Рисунок 1. Векторы атак на платежные системы (Verizon data breach report 2010)

Оценивать эффективность PCI можно с точек зрения ПС, оператора платежа, клиента и рынка в целом.

С точки зрения платежных систем стандарт уже приносит результаты. Процедуры реагирования на инциденты и коррективные механизмы (уведомление клиентов, мониторинг) были успешно использованы при снижении последствий ряда крупных инцидентов. Кроме того, фокус был смещен с фундаментальных недостатков платежных систем на невыполнение требований PCI DSS-оператором.

С точки зрения оператора и клиента не все так однозначно. С одной стороны, повышение защищенности снижает риски использования платежных систем. Так, по данным Verizon, в случае выполнения требований PCI DSS вероятность утечки платежных данных снижается в два раза. С другой стороны, в связи с неоднородностью ИС, обслуживающих платеж, говорить о серьезном прорыве в этом направлении пока рано. Кроме того, меры, предпринимаемые в рамках реализации стандарта, отнюдь не бесплатны, и зачастую эти затраты перекладываются на клиента.

Для рынка в целом PCI DSS, несомненно, полезен как пример четко выстроенной и эффективно функционирующей инфраструктуры compliancemanagement.

РОССИЙСКАЯ СПЕЦИФИКА

В целом внедрение PCI DSS в России происходит достаточно успешно. Несмотря на длительные переносы даты внедрения «карательной» составляющей, идет планомерное внедрение стандарта в большинстве организаций, попадающих под действие требований.

Сформирован профессиональный рынок аттестующих организаций (QSA, ASV). Широко представлены дополнительные продукты и услуги, такие как тестирование на проникновение, анализ веб-приложений и приведение в соответствие с требованиями.

Одним из специфических моментов, осложняющих работу стандарта, является законодательство о банковской тайне, формальное применение которого может значительно снизить эффективность механизмов независимого контроля в рамках аудитов QSAи тестов на проникновение. Но большинство участников рынка нашло приемлемые с точки зрения законодательства и эффективности методы обхода данного препятствия. (см.http://www.securitylab.ru/analytics/397449.php).

 

КОММЕНТАРИЙ БАНКА

Пётр КУРИЛО,
начальник управления информационной безопасности ООО «АМТ БАНК»:

− Действительно, «узкоспециализированный» стандарт платежных систем PCI DSS, хотя и содержит специфические моменты, на деле носит общесистемный характер. Международное банковское сообщество быстро распознало, что предложенный стандарт содержит знакомые всем по ISOтребования, применимые к IT-системам в целом при построении комплексной системы информационной безопасности. Думаю, в российских банках это тоже поймут.

Обязательность PCI DSS укрепила позиции служб информационной безопасности в банках, дала импульс развитию их деятельности. Для выполнения требований стандарта, чтобы избежать «карательных» санкций, руководству банков приходится выделять дополнительные ресурсы. Требования PCI DSS помогли обосновывать меры оптимизации системы информационной безопасности, закупки специальных технических и/или программных средств, проведение консультационных работ.

Внедрение PСI DSS в России имеет свои особенности: наиболее устойчива репутация QSA-аудиторов, получивших свой статус первыми. Также банками наиболее востребованы услуги компаний, оказывающих максимально широкий спектр услуг «под ключ»: предварительный аудит, консалтинг, сканирования, тесты на проникновение, итоговый сертификационный аудит.

Вряд ли можно согласиться с автором, что отечественное законодательство о банковской тайне сильно осложняет работу: на мой взгляд, сами аудиторы отнюдь не стремятся получать доступ к такой информации, хотя организация работ (контроль, единая точка входа и пр.) тоже имеет не последнее значение.

ООО «АМТ БАНК» строит Систему обеспечения информационной безопасности, руководствуясь Комплексом БР ИББС, с которым у PCI DSS, естественно, противоречий нет. Всё же хотелось бы, чтобы требования PCI DSS были интегрированы в наш отраслевой стандарт, что может помочь банкам избавиться от ряда дополнительных расходов.

Стать автором BIS Journal