PCI DSS: куда ведут пути соответствия?

«Основу прогресса составляют, как известно, три вещи: технология, капиталовложения и фундаментальные запросы людей» (Харуки Мураками).

Тема соответствия международному стандарту PCI DSS (Payment Card Industry Data Security Standard) в банковской сфере отнюдь не нова. Однако принимать решение о приведении своих процессинговых систем в соответствие стандарту банки сегодня могут по разным причинам. Как то: стремление свести к нулю возможность каких-либо штрафных санкций или ограничений со стороны международных платежных систем, или, например, повышение уровня защищенности среды обработки данных платежных карт, сокращение рисков финансового ущерба от инцидентов ИБ. Нередко причиной запуска проекта по приведению в соответствие требованиям PCI DSS, как показывает практика, оказываются репутационные и имиджевые задачи, в том числе желание банковской организации повысить уровень доверия клиентов и бизнес-партнеров.
Более того, 7 ноября 2013 года Совет PCI SSC (Payment Card Industry Security Standards Council) опубликовал новую версию стандарта безопасности данных индустрии платежных карт PCI DSS 3.0, призывающую организации перестать воспринимать стандарт как набор требований с периодичными аудитами. По мнению PCI SSC, безопасность платежных данных должна стать непрерывным процессом и неотъемлемой частью их бизнеса с обязательным обучением персонала, повышением осведомленности и безопасности в целом. Что, безусловно, выглядит как шаг в сторону реальной безопасности.
ИБ: истина в точке пересечения требований
Как известно, целый ряд требований национальных законов (закон «О персональных данных» № 152-ФЗ, закон «О национальной платежной системе» № 161-ФЗ), стандартов (СТО БР ИББС, PCI DSS), внутрикорпоративных политик и положений и т.д. сфокусированы на организациях банковского сектора. Более того, результаты аудитов информационных систем в банках зачастую показывают, что области действия перечисленных законов и стандартов пересекаются. Так что в одной и той же системе приходится сбалансированно выполнять различные требования по безопасности. Поэтому при планировании любых проектов по информационной безопасности перед банками встает задача «убить нескольких зайцев одной пулей», а именно: одновременно обеспечить соответствие если не всем, то большинству таких требований в целях рационального расходования бюджетов.
Своеобразной «входной дверью» в Multi-Compliance, на мой взгляд, является не что иное, как стандарт PCI DSS, так как выполнение именно его требований позволяет минимизировать самые критичные риски, связанные с мошенничеством в сфере банковских карт. Для обеспечения соответствия PCI DSS, как правило, внедряются подсистемы информационной безопасности, позволяющие «перекрыть» также и требования национальных законов. Это является наиболее оптимальным вариантом с точки зрения соотношения практической пользы и величины финансовых инвестиций. Но на практике часто получается, что для обеспечения соответствия требованиям PCI DSS используется лишь часть разнообразного и полезного функционала внедряемых продуктов. Поэтому при создании той или иной подсистемы ИБ целесообразнее сначала оценить потребности в использовании функций по защите информации всей инфраструктуры банка, попадающей в область «compliance», а уже потом принимать решение о покупке конкретных продуктов с возможностью задействовать их в нескольких параллельных направлениях ИБ.
Три подхода к безопасности: как выбрать и не ошибиться?
В ходе работ по приведению информационных систем в соответствие требованиям стандарта PCI DSS традиционно выделяют несколько основных защитных мер, которые необходимо реализовывать технически. Часть из них можно выполнить, максимально используя функции уже имеющегося оборудования. Так, например, можно сегментировать сеть с выделением среды обработки карточных данных или настроить политики аудита на сетевых устройствах.
Другие требования в полной мере могут быть «закрыты» и при использовании «opensource»-продуктов. В частности таким способом может быть реализован, к примеру, контроль целостности критичных данных. Но в данном случае нужно понимать, что из-за отсутствия поддержки от производителей (что не редкость для решений данного уровня) могут возникать проблемы с эксплуатацией подсистем ИБ.
Существует и целый набор комплексных промышленных решений. Безусловно, они относятся к классу более дорогостоящих продуктов, но в то же время позволяют удовлетворить несколько регуляторных требований разом. Например, средства защиты баз данных или сбора и анализа событий ИБ позволяют обеспечить соответствие требованиям законов «О персональных данных» и «О национальной платежной системе» (помимо PCI DSS), а также эффективны с точки зрения обеспечения реальной безопасности. И в этом случае мы уже можем говорить об упомянутой охоте на многих зайцев с одним зарядом. Кроме того средства защиты такого уровня обычно сертифицированы в соответствии с требованиями российского законодательства, что часто не менее важно при принятии решения об их внедрении.
Аппетит приходит во время еды...
Использование сложных многофункциональных продуктов для защиты информационных систем уровня business-critical открывает дополнительные возможности для обеспечения реальной безопасности. К примеру, организации банковского сектора в этом случае получают:
· исчерпывающий набор функций для выполнения требований PCI DSS и других требований регуляторов;
· гибкость настройки, управления и масштабирования внедряемых решений;
· возможность проактивного контроля актуального состояния ИБ и т.д.
Кроме того, никто не отменял закон «аппетита, приходящего во время еды». И зачастую банки, убедившись в полезности (а порой и необходимости) функций подобных продуктов, начинают загодя планировать возможное масштабирование и принимают решение об их покупке «на вырост». За счет чего «безопасная зона» распространяется далеко за рамки «compliance».

мля столько букв, а в чем новость так и не понял...