8 августа, 2011, BIS Journal №3(3)/2011

Прощай, «двойной» стандарт!


Былевский Павел

Шеф-редактор «BIS Journal», кандидат философских наук (BIS Journal)

Для расширения российского участия в мировой финансовой системе Комплекс БР ИББС интегрирует требования международного стандарта PCI DSS

16 июня в Москве в выставочном центре «ИнфоПространство» прошла однодневная конференция «Вопросы применения и соответствия стандартам PCI DSS / PA DSS». В прессе этот форум также называли «летней сессией» ежегодной Межбанковской конференции «Информационная безопасность банков». Камнем преткновения стало соотношение двух стандартов информационной безопасности − международного и отечественного, разработанного Банком России. Участники выясняли, насколько, в каких формах и как скоро возможна интеграция их требований.

СЛОВАРЬ «BIS Journal»

ASV (Approved Scanning Vendor) – поставщик услуг сканирования, имеющий официальный статус, определяемый Советом стандартов безопасности (PCI SSC).
PCI DSS (Payment Card Industry Data Security Standard) – стандарт безопасности данных индустрии платежных карт, описывает правила обеспечения безопасности информации о владельцах платежных карт при ее обработке, передаче или хранении.
PA DSS (Payment Application Data Security Standard)  – стандарт безопасности, являющийся развитием предписаний Visa PABP (Payment Application Best Practices) и адаптацией требований стандарта PCI DSS к программным приложениям.
Payment Card Industry Security Standards Council – Совет по стандартам безопасности индустрии платежных карт, разработчик стандарта PCI DSS. Основан ведущими международными платежными системами Visa, MasterCard, AmericanExpress, JCB, Discover.
QSA (Qualified Security Assessor) – статус, дающий право выполнять работы по сертификации платежных систем соответствию требованиям стандарта PCI DSS.
Комплаенс − (от англ. compliance – согласие, соответствие) − соответствие требованиям PCI DSS, деятельность по его оценке и обеспечению.
Мерчант (от англ. merchant) — юридическое лицо или его структурное подразделение, обеспечивающее эквайринг (обслуживание) платёжных карт через процессинговые центры.
Эквайринг (от англ. acquiring – приобретение) – приём уполномоченным банком (эквайером) платёжных карт как средства оплаты товара, работ, услуг через платёжный терминала (POS-терминал, от англ. point of sale – точка продажи) или импринтера в предприятиях торговли (услуг). Интернет-магазины осуществляют его посредством специально разработанного web-интерфейса.
Эквайер – член ассоциации эмитентов банковских карт, который выстраивает и поддерживает взаимодействие с предприятиями торгово-сервисной сети, принимающей платежные карты.
Эмиссия банковских карт – деятельность по выпуску, открытию счетов и расчётно-кассовому обслуживанию операций, совершаемых с их помощью клиентами.

МЕЖДУ ДВУХ ОГНЕЙ

Банковская карта позволяет пользователю комфортно управлять своими деньгами на счёте практически в любой точке мира. Расплачиваться с её помощью удобно, не заботясь об обмене валюты, сохранности наличных и сдаче. Преимущества расчётов при помощи пластиковых карт, в том числе трансграничных, с каждым днём становятся нагляднее. Стремительно расширяется сфера их применения, растёт количество участников этой индустрии и держателей карт, удлиняются цепочки транзакций, в том числе международных.

Как максимально полно реализовать в России все перспективы, которые открывают платёжные карты? Для этого участники этой индустрии должны надёжно обезопасить себя и держателей карт от злоумышленников − кибер-воров. Если физическое лицо рискует только личными средствами, то для банка, центра процессинга или торговой точки потенциальный инцидент является угрозой бизнесу. В частности, может подвести под штрафные санкции международных платёжных систем. Участники индустрии платёжных карт находились между «двумя огнями»: отечественным отраслевым стандартом Банка России и международным PCI DSS.

Растущая «информатизация» мировой финансовой системы является локомотивом глобализации экономики. Поскольку Россия является активным участником этого процесса, высока актуальность вопросов информационной безопасности международных платежей, в частности, совершаемых при помощи платёжных карт. Поэтому в итоговой резолюции III Межбанковской конференции «Информационная безопасность банков», проведённой в феврале 2011 года, было предложение рассмотреть вопрос более полного  учета требований стандарта PCI DSS в требованиях отечественного отраслевого стандарта информационной безопасности.

СВЕЖИМ ВЗГЛЯДОМ

Февральская конференция также рекомендовала тщательно изучить положительный опыт международных платежных систем − методологию разработки стандарта информационной безопасности для индустрии платёжных карт и способы проверки соблюдения банками предъявляемых требований. Свежим взглядом оценить современные перспективы «прививки» в современных российских реалиях международного стандарта безопасности карточных платежей. К тому же ведущаяся реорганизация Сообщества ABISS в некоммерческое партнёрство делают особенно интересным положительный опыт использования механизмов саморегулирования в области оценки соответствия требованиям стандартов безопасности, накопленный PCI Security Standards Council.

Таким образом, июньская конференция «Вопросы применения и соответствия стандартам PCI DSS / PA DSS» проводилась во исполнение соответствующих пунктов итоговой резолюции февральского форума. Предварительно тема была основательно «размята» тематической подборкой публикаций в №2 журнала «BIS Journal − Информационная безопасность банков», который распространялся на конференции. Организаторами мероприятия выступили Ассоциация российских банков − АРБ и Сообщество пользователей стандартов Банка России − ABISS, при официальной поддержке Банка России и организационной − компаний «Авангард Центр» и «ФортКонсалт».

Июньская конференция вызвала большой интерес участников отрасли: в ней приняли участие более 200 руководителей, ведущих сотрудников различных организаций, специалистов по информационной безопасности, служб внутреннего контроля и риск-менеджеров. В первую очередь − банков и кредитных организаций, процессинговых центров и эмитентов пластиковых карт, а также поставщиков соответствующих услуг − внутренних и внешних аудиторов IT-технологий и информационной безопасности. VIP-участниками стали представители ведущих российских отраслевых регуляторов, а также международной организации PCI Security Standards Council.

ЗА ДВУМЯ ЗАЙЦАМИ

Тон задавали выступления представители регуляторов − государственных, в первую очередь Банка России, общественных − АРБ, АРЧЕ − Ассоциация российских членов Европей (EuroPay) и международного PCI Council (в формате видеообращения). Выступали преимущественно компании, предлагающие услуги, связанные с принятием и выполнением требований PCI DSS. Рассказов представителей банков об их видении проблематики и работе по внедрению стандарта PCI DSS не было, они больше слушали и иногда задавали докладчикам вопросы.

Учитывая, что стандарт информационной безопасности является системообразующим фактором для отрасли, главной темой конференции стали общие характеристики PCI DSS, необходимость внедрения стандарта в России и сопутствующая проблематика. Обсуждались области применения стандартов PCI DSS / PA DSS, вопросы их внедрения и достижения соответствия прописанным требованиям, взаимодействие банков-эмитентов, эквайеров, мерчантов и процессинговых центров. Отдельной темой стали предлагаемые банкам услуги − аудита соответствия стандартам PCI DSS / PA DSS, контроля качества предоставляемых услуг и обучения QSA, прохождения сертификационного аудита и процедуры получения сертификата соответствия (Visa, MasterCard).

Как на российской почве «приживается» международный стандарт PCI DSS? Насколько его нормы соответствуют требованиям отраслевых регуляторов, в частности, криптографическим, предъявляемым ФСБ России и ФСТЭК России? Каково соотношение PCI DSS со стандартом информационной безопасности − Банка России, который признан всеми ключевыми регуляторами? Реально ли «гоняться за двумя зайцами», пытаться соответствовать и тому, и другому? Насколько и в какие сроки возможна интеграция международных требований в отечественный отраслевой стандарт? Эти и другие вопросы звучали в выступлениях и прениях, в дискуссиях в кулуарах обсуждали нюансы, в том числе организационные и технические.

ПОДВОДНЫЕ КАМНИ

Заместитель начальника Главного управления безопасности и защиты информации Банка России Андрей Курило подчеркнул: любая кредитно-финансовые организация, развивая бизнес, связанный с платёжными картами, неизбежно сталкивается с требованиями стандарта международного PCI DSS. Работа над их интеграцией в российский отраслевой стандарт информационной безопасности банков ведётся профильными комитетами Федерального агентства по техническому регулированию и метрологии (Росстандарта).

Стандарт Банка России, отметил Андрей Петрович, является «открытым», его редакции оперативно обновляются, в частности, в соответствии с законодательными новациями. Например, с требованиями федерального закона о персональных данных или законопроекта о национальной платёжной системе. Вопрос интеграции требований PCI DSS проработан достаточно глубоко, но окончательного решения пока нет.

Подробно рассмотрел различные аспекты соотношения PCI DSS и отечественного отраслевого стандарта информационной безопасности банков Валерий Харламов − начальник отдела Главного управления безопасности и защиты информации Банка России. Область применения международного стандарта безопасности данных индустрии платежных карт шире области применения стандарта Банка России как по отраслям экономики, так и территориально. Зато отечественный стандарт согласован со всеми регуляторами, а криптографические нормы PCI DSS не совпадают с предъявляемыми ФСБ России и ФСТЭК России. Однако сходства больше, чем различия: детальное рассмотрение требований PCI DSS показывает: соответствующие пункты есть в документах Комплекса БР ИББС.

Валерий Павлович перечислил «подводные камни» интеграции − недостаток отечественного опыта защиты данных платежных карт, а также трудности «двойного» согласования вносимых изменений, с одной стороны − PCI Security Standards Council LLC, с другой − ФСБ России. Формально интегрировать в Стандарт Банка России PCI DSS можно путём простой ссылки на его нормы, но тогда возникает проблема признания PCI SSC аккредитации оценщика и оценки соответствия.

Одно из возможных содержательных решений − включить требования PCI DSS в неизменном виде в Комплекс БР ИББС. Например, как рекомендаций организациям российской банковской системы, работающим с платежными картами. Это не «снижение статуса», ведь даже в случае принятия стандарта Банка России в качестве ГОСТа он останется рекомендательным. Дополнительным подспорьем в деле интеграции должна стать аккредитация, при поддержке Банка России, Сообщества ABISS в соответствии с требованиями руководящих документов PCI SSC.

САМИ СЕБЕ РЕГУЛИРОВЩИКИ

Исполнительный директор Ассоциации российских банков Валерий Шипилов напомнил: проблематика PCI DSS уже рассматривалась ассоциацией ещё 4 года назад, но лишь как частный вопрос одного из направлений деятельности банков, связанной с платёжными картами. Потому что в те времена это был довольно новый вид услуг, без которого сегодня не обходится, наверное, ни один банк. Чтобы информационные угрозы не тормозили развитие и расширение «карточного бизнеса», вопросы обеспечения безопасности обработки, передачи или хранения информации о владельцах платежных карт теперь рассматриваются специализированно.

Павел Гениевский, секретарь Совета ABISS − Сообщества пользователей Стандарта Банка России, рассказал о ходе его реорганизации в некоммерческое партнёрство − промежуточном этапе на пути к созданию саморегулируемой организации. Уже сейчас структура сообщества, созданного на основе российского отраслевого стандарта, напоминает PCI Council, созданного на основе PCI DSS.

И у российской, и у международной организации похожи принципы построения, руководящие и рабочие органы: общее собрание членов, постоянно действующее правление во главе с председателем, секретариат, наблюдательный совет, ревизионная комиссия. Пока что согласован регламент взаимодействия ABISS с Банком России, на очереди − с другими отраслевыми государственными регуляторами − Роскомнадзором, ФСБ России и ФСТЭК России. Можно смело намечать перспективу − признание международных платёжных систем, в том числе PCI Council.

ВИДЕО ОТ ПЕРВОИСТОЧНИКА

В своём видеовыступлении Джереми Кинг, директор PCI Council − «первоисточника» международного стандарта, в первую очередь обратил внимание аудитории на информационные угрозы со стороны мирового криминалитета, которые активизировался и организовался. Таковы издержки финансовой глобализации: количество информационных инцидентов возрастает, данные карт крадут по всему миру, украденное в США легко используется в Африке. Статистика информационных атак на банки показывает, 89% атак − направлены на хищение средств.

За беспечность приходится платить втройне по сравнению с затратами на информационную защиту. Но страшнее всего  − трудно восстановимый ущерб репутации банка. Лучшая защита  − поддержание соответствия стандартам информационной безопасности, в частности «золотому», универсальному стандарту PCI DSS. Статистика показывает рост эффективности, соответствие его нормам требованиям снижает информационную уязвимость банка в 100 раз по сравнению с 2008 годом.

Руководитель PCI Council заверил: разработчики стандарта развивают партнёрство со всеми членами организации − 600 банков, вендоров, мерчантов, из которых более 90 расположены в Европе. Двери широко раскрыты для всех желающих. Опыт всех участников транзакций, многих тысяч организаций и миллионов держателей карт аккумулируется в новых версиях стандарта, том числе в самой свежей, января 2011 года. На сайте PCI Council вывешиваются дополнительные текущие рекомендации по информационной безопасности. Там же есть электронная библиотека специальной литературы, образовательный ресурс по хранению и своевременному уничтожению данных и  «арсеналу отмычек» преступников, программы внутреннего аудита безопасности.

ПРОДУКТИВНАЯ ПРОТИВОФАЗА

Евгений Балезин, вице-президент АРЧЕ − Ассоциации Российских членов Европей (EuroPay), члена PCI SSC, рассказал об участии в разработке стандартов PCI (DSS, PA, PTS) и продвижении их в России. Чтобы российские кредитные организации, процессинговые центры и торгово-сервисные предприятия могли обмениваться опытом PCI DSS-сертификации, в 2009 году было создано Сообщество PCI DSS.RU, проводились международные конференции PCI DSS Russia 2010, 2011, работает межбанковский информационный Форум безопасности.

Главный специалист отдела методологии федеральной уполномоченной организации «Универсальная электронная карта» Дмитрий Азин осветил особенности выполнения требований PCI DSS и Комплекса БР ИББС при реализации федерального закон от 27 июля 2010 г. № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг». Для универсальной электронной карты «сферы ответственности» этих стандартов пересекаются, поскольку она содержит более широкую информацию, чем банковскую, − персональную, ведомственную и коммерческую.

Ключевые требований информационной безопасности универсальной электронной карты − УЭК  предъявляются к хранению идентификационных данных гражданина, средствам формирования электронной подписи и авторизации изменений данных. Чтобы их выполнить при отсутствии национальной платёжной системы, приходится пользоваться зарубежными, международными, таких как VISA и MasterCard, приходится работать «в противофазе» − сочетать противоположно направленные процессы − выводить процессинг вовне, на аутсорсинг, но интегрировать требования PCI DSS.

МНОГОЗНАЧАЩИЕ ПОДРОБНОСТИ

Весомую лепту в обсуждение перспектив слияния двух разных стандартов внесли и компании, предлагающие услуги на рынке информационной безопасности финансовых операций. Так, Николай Конкин, председатель совета директоров и генеральный директор ООО «КАБЕСТ»,напомнил, что сам по себе стандарт PCI DSS, хотя требует времени и усилий на все процедуры и достижение соответствия, всё-таки несложен. В США и Европе большинством участников индустрии платёжных карт либо соответствуют PCI DSS, либо составили чёткие планы внедрения, но у нас в стране не все о нём и слышали, а некоторые и не собираются стремиться к выполнению его требований. Можно только посетовать, что даже российским правоохранительным органам пока не хватает опыта успешного расследования хищений средств с платёжных карт.

Ким Штилер, ведущий специалист компании «ФортКонсалт», сделал короткий экскурс в недавнюю историю, напомнил о первичных мерах защиты данных платёжных карт, которые применялись до появления PCI DSS. Создание 7 лет назад и всё более широкое распространение этого стандарта было вызвано тем, что хакеры набираются опыта. Те, кто рекомендует, как с наименьшими усилиями формально выполнить требования стандарта, забывает, что сертификат соответствия PCI DSS − всего лишь необходимый минимум информационной защиты, закрытие только самых уязвимых точек.

Интересные организационные, технические и финансовые аспекты принятия и внедрения стандарта PCI DSS / PA DSS, оценки, достижения соответствия и сертификации рассматривались также в докладах и выступлениях представителей компаний ЭнВижнГруп, LETA-IT, «Информзащита», ЕВРААС.ИТ и других участников конференции. Поскольку иногда мелкие технические подробности играют решающую роль, аудитория выслушивала сообщения с большим интересом, порой вспыхивали дискуссии.

Заместитель начальника Главного управления безопасности и защиты информации Банка России Андрей Курило, дав анализ трудностей на пути интеграции российским отраслевым стандартом информационной безопасности требований, принятыми в мировых платежных системах, отметил: всё же такая необходимость назрела. Итоговой резолюции не было, возможно, по причине достигнутого участниками конференции консенсуса в этом вопросе.

На фото: видеовыступление на конференции Джереми Кинга, директора PCI Council.

 

Смотрите также

Поприще стража

30 марта, 2011

Время не бремя

10 ноября, 2010
Подпишись на новости!
Подписаться