Компромисс между безопасностью и эффективностью

Компромисс между безопасностью и эффективностью

Интервью с директором департамента аудита компании "Информзащита" Максимом Эммом

"Мир карточек": Что представляет собой стандарт безопасности PCI DSS? Максим Эмм: PCI DSS - общий стандарт безопасности для компаний, которые обрабатывают и передают либо хранят данные платежных карточек. Это в первую очередь члены международных платежных систем (банки-эквайреры), платежные шлюзы, и торгово-сервисные предприятия - магазины, торговые сети и интернет-магазины. Все эти компании обязаны соблюдать требования стандарта безопасности PCI DSS, так как потенциальный ущерб в случае хищения данных может быть значительным.

В нашей стране у платежной системы Visa, по данным ЦБ РФ на конец II квартала 2008 г., активны 29,3 млн карточек, у платежной системы MasterCard - 14,5 млн карточек. Однако чем чаще люди пользуются "пластиком", чем больше денежных средств хранят на счетах, тем выше риск мошенничества с их использованием. Однако требования к разным компаниям в отношении проверок также различаются. Так, например, проверка магазина на уязвимость осуществляется один раз в квартал, тогда как банк, помимо аналогичной ежеквартальной проверки, должен еще ежегодно проходить процедуру аудита. При этом контроль соответствия стандарту для банков осуществляют сами платежные системы, тогда как контроль соответствия предприятий торгово-сервисной сети - непосредственно банки, к которым одни подключены.

Основных требований стандарта 12, и они регламентируют различные аспекты защиты данных платежных карточек при их хранении, обработке и передаче - начиная с места, где должны стоять видеокамеры, и заканчивая общими требованиями политики безопасности, такими как антивирусная защита, контроль доступа и т. д.

"М. К.": Какие существуют требования по внедрению данного стандарта? М. Э.: Существует организация, которая называется PCI Security Standards Council. В нее входят как международные платежные системы, так и непосредственно компании, которые работают с платежными карточками, т. е. банки, торгово-сервисные предприятия и др. Эта организация занимается тем, что разрабатывает и обновляет стандарты PCI DSS, PCI PED и другие, проводит обучение и аттестацию аудиторов. То есть курирует всю инфраструктуру внедрения стандартов, тогда как за соблюдением выполнения стандартов следят сами платежные системы. Они самостоятельно определяют, кому, когда и в каком виде соответствовать этим требованиям, при этом требования у платежных систем могут быть разные. Компания же, которая работает с обеими международным платежными системами, должна удовлетворять требованиям обеих систем. Другое дело, что, по сути, требования эти одинаковые, так как стандарт един, - в этом его плюс. Достаточно у одного аудитора пройти ежегодный аудит, и он будет принят в обеих международных платежных системах. Это выгодно отличает его от той ситуации, которая была раньше, когда банки и компании вынуждены были по многу раз в год проходить аудит по разным, но очень похожим программам в каждой платежной системе.

Сейчас требования сведены в одну программу, которую компания проходит за одну проверку, и ее результаты принимаются любой платежной системой. Таким образом, на текущий момент компаниям необходимо ежегодно проходить аудит, даже если они при этом не на 100% выполняют все требования стандарта.

"М. К.": Как осуществляется аудит на соответствие стандарту PCI DSS? М. Э.: Из списка компаний QSA, которые имеют право на проведение аудита (он открытый и доступен в Интернете), выбирается компания, которая имеет соответствующий сертификат и соответствующее количество сотрудников, которые прошли обучение и сдали сертификационные экзамены. Далее производится первичная оценка той области компании, которая подлежит проверке. Совершенно очевидно, что не все подразделения банка могут подпадать под аудит данного стандарта. Подпадают же только те подразделения или части бизнеса банка, в которых обрабатывается информация о платежных карточках, в первую очередь связанная с авторизацией платежей и клирингом. Чаще всего это процессинговый центр банка.

Далее согласовывается график, в котором указывается, что именно и когда будет проверяться, после чего начинается собственно проверка, которая занимает обычно от одной до двух недель.

Аудиторы, обычно это два-три человека, по обговоренной программе ежедневно обходят помещения, читают документацию, смотрят настройки программного обеспечения, оборудования, данные компьютеров, проводят опрос персонала.

Несмотря на то что существует всего 12 общих требований стандарта, насчитывается 232 пункта, которые подлежат проверке. То есть, по сути, нужно провести 232 проверки, чтобы удостовериться, что все требования стандарта выполняются должным образом. Процедура аудита детально описана и опубликована на сайте PCI SSC, и компания, которая принимает аудиторов, может заранее к нему подготовиться.

По итогам проверки аудитором составляется отчет, в котором содержится информация о том, выполняется или не выполняется каждый из 232 пунктов. Для большинства требований есть такая возможность, которая называется "координационные меры". То есть если из-за особенностей бизнеса нельзя напрямую выполнить требование, которое описано в перечне, то компания может выполнить его другим способом, но при этом заполнить специальную форму, которая называется "оценка координационных мер". Таким образом, компания снижает риск безопасности, но не тем способом, который прописан в стандарте, а каким-то своим, и он должен быть как минимум не хуже. А то, что он не хуже, проверяет как раз аудитор.


Карта сайта


Информационный сайт Webavtocat.ru