Нужен ли нам PCI DSS?

Нужен ли нам PCI DSS?

Мы не изучаем информационную безопасность,

а создаём её, сами пишем эту увлекательную историю.

Друзья мои, мы живём в интересное время. Не многим повезло так, как нам с вами. Мы опять стоим на пороге глобальных перемен, в том числе в нашей отрасли. Мы получили уникальный опыт борьбы в области защиты информации.

Те, кто сегодня находится на реальных рубежах защиты информации, смогли оценить и сравнить, что нужно делать, и то, что мы делали «до». Мы ещё долго будем изучать этот практический опыт, но первые выводы можно уже сделать. Я хочу очень коротко, мазками, остановиться только на двух уроках, хотя их существенно больше.

УРОК ПЕРВЫЙ

Подтверждено одно из главных условий функционирования системы обеспечения защиты информации – там, где есть реально функционирующая система управления ИБ (а не система менеджмента ИБ, давайте начнём говорить по-русски), а не бумажная система, там реагирование и адаптация к новым условиям произошла максимально быстро. Но это базовые принципы. Победят не те, кто купил и установил самое дорогое и совершенное программно-аппаратное обеспечение защиты, а те, кто научился правильно организовывать защиту информационной составляющей бизнеса и его участников на основе того, что под рукой и можно использовать немедленно! Необходимо постоянно поддерживать и совершенствовать системы управления информационной безопасности.

УРОК ВТОРОЙ

Изменение внешнего окружения и условий функционирования международных платёжных систем вновь поднимает вопрос необходимости использования американских (типа международных) стандартов PCI DSS. Эта тема неоднократно обсуждалась на самых разных площадках — с PCI Consul, с исполнительным директором восточной зоны Джереми Кингом, на различных конференциях, форумах, в публикациях. Прорабатывались вопросы «гармонизации» PCI DSS с тогдашним Положением Банка России № 382-П, разрабатывалось специальное приложение к стандарту — «RF». Позиции аудиторов очень разные. Хотя зачастую это одни и те же люди, у них возникают очень разные требования, по-разному проводятся проверки и т. д. и т. п. Об общности и различиях этих подходов даже мне пришлось несколько раз писать. Главное, о чём необходимо помнить, применяя те или иные стандарты, зачем мы все это делаем, для чего нужна вся работа по соответствию их требованиям.

Не хочу сейчас поднимать тему технического соответствия требований БР и PCI DSS, просто напомню.

Вот это основные группы требований PCI DSS:

Построение и обслуживание защищённой сети и систем

• Установить и обеспечить функционирование межсетевых экранов для защиты данных держателей карт.
• Не использовать пароли и другие системные параметры, заданные производителем по умолчанию.

Защита данных держателей карт

• Обеспечить безопасное хранение данных держателей карт.
• Обеспечить шифрование данных держателей карт при их передаче через сети общего пользования.

Программа управления уязвимостями

• Защищать все системы от вредоносного ПО и регулярно обновлять антивирусное ПО.
• Разрабатывать и поддерживать безопасные системы и приложения.

Внедрение строгих мер контроля доступа

• Ограничить доступ к данным держателей карт в соответствии со служебной необходимостью.
• Определять и подтверждать доступ к системным компонентам.
• Ограничить физический доступ к данным держателей карт.

Регулярный мониторинг и тестирование сети

• Контролировать и отслеживать любой доступ к сетевым ресурсам и данным держателей карт.
• Регулярно выполнять тестирование систем и процессов обеспечения безопасности.

Поддержание политики информационной безопасности

• Разработать и поддерживать политику информационной безопасности для всего персонала организации.

А вот это «палеты кирпичиков» в форме стандарта ГОСТ-Р 57580.1 — 2017 и правил оценки правильности «сбора этих кирпичей» ГОСТ-Р 57580.2 — 2018. Очень кратко это выглядит так: группы процессов объединены направлениями, внутри каждого из которых сгруппированы наборы организационных и технических мер:

• Обеспечение защиты информации при управлении доступом
• Обеспечение защиты вычислительных сетей
• Контроль целостности и защищённости информационной инфраструктуры
• Антивирусная защита
• Предотвращение утечек информации, защита машинных носителей информации (МНИ)
• Управление инцидентами защиты информации
• Защита среды виртуализации
• Защита информации при осуществлении удалённого логического доступа с использованием мобильных (переносных) устройств

С учётом новых Положений БР № 672-П, 683-П и 719-П области применения требований практически сравнялись с PCI DSS и где-то значительно их превосходят. Спорным (возможно) остаётся раздел требований к процессу непосредственного выпуска самих платёжных карт. При этом отсылки Положений непосредственно к требованиям одного и того же стандарта (57580.1 — 2) серьёзно облегчают практическую работу по построению, использованию и последующей оценке системы защиты. Совершенно очевидно, что на основе выполнения требований БР можно построить систему, также одновременно соответствующую требованиям PCI DSS. Оставшаяся нерешённой задача аккредитации аудиторских компаний, подготовки и регулярной аттестации аудиторов – это работа нашего ближайшего будущего.

ДРУГАЯ СТОРОНА

Хотел бы затронуть совершенно другую сторону этого урока.

Мы живём в России. Основной закон, регулирующий нашу деятельность в платёжной системе, — Федеральный закон «О национальной платёжной системе» №161-ФЗ гласит:

Статья 27. Обеспечение защиты информации в платёжной системе

3. Операторы по переводу денежных средств, банковские платёжные агенты (субагенты), операторы платёжных систем, операторы услуг платёжной инфраструктуры обязаны обеспечивать защиту информации при осуществлении переводов денежных средств в соответствии с требованиями, установленными Банком России, согласованными с федеральными органами исполнительной власти, предусмотренными частью 2 настоящей статьи.

Статья 32. Осуществление надзора в национальной платёжной системе

2. Банк России определяет формы и сроки предоставления отчётности, в том числе в виде отчётности поднадзорной организации и сводной отчётности по платёжной системе, методику составления указанной отчётности.

В рамках выполнения требований ФЗ Банком России регулярно разрабатываются и совершенствуются соответствующие положения и указания. Некоторые из них я уже упоминал (№ 672-П, 683-П и 719-П). Самое интересное состоит в том, что в них ни слова упоминания о стандартах международных платёжных систем (МПС). То есть сточки зрения Главного регулятора мы, выполняя только его требования, можем обеспечить необходимый уровень защиты! Тогда зачем нам в нашей стране чужой стандарт?

И ещё. По декларации разработчиков Стандарт безопасности данных индустрии платёжных карт (PCI DSS) разработан в целях повышения уровня безопасности данных владельцев платёжных карт и содействия процессу повсеместного внедрения единообразных мер по защите данных держателей карт. В основе стандарта PCI DSS лежат фундаментальные технические и операционные требования, которые разработаны для защиты данных держателей карт. Благородная цель. Но для того чтобы нам поверили, мы должны самые чувствительные данные об организации безопасности нашей платёжной инфраструктуры, наших «слабых» местах и уязвимостях передавать доверенным (с точки зрения PCI Consul) организациям и людям. Напомню, что практически все банки являются объектами критической информационной инфраструктуры, а PCI Consul – это организация, подконтрольная правительству одной из самых недружественных стран, и выполняет все его указания. Из этой конструкции следует вывод:

Выполняя требования стандарта PCI DSS и ежегодной оценки соответствия этим требованиям, мы передаём чувствительные данные о характеристиках и уровне защищённости объектов критической информационной инфраструктуры компетентным органам враждебного государства.

МПС ушли. Зачем нам PCI DSS?