Требования к информационной безопасности для участников рынка транзакционной инфраструктуры

С сентября 2006 года стандарт PCI DSS введен на территориях Европы, России, СНГ и Африканского континента, как обязательный к выполнению для всех участников транзакционного рынка. В связи с этим, все банки-эмитенты и банки-эквайеры, а также иные участники, обеспечивающие транзакционную инфраструктуру (например процессинговые центры, обслуживающие банки-эмитенты и банки-эквайеры, интернет-провайдеры, дата-центры, платежные шлюзы и тд.), работающие на прямую с сетевым сервисом взаимодействия с платежной системой должны пройти процедуру аудита на соответствие требованиям стандарта PSI DSS. Автор считает необходимым принять во внимание, что процессинговый центр участвует как со стороны банка-эквайера, так и со стороны банка-эмитента [4]. Также следует учесть, что на сегодняшний день рынок эквайринга эволюционировал, сформировав новый вид участника рынка – платежную систему, обеспечивающую воз- можность банкам-эмитентам создавать эмуляцию банковской карты на базе уже существующей карты сторонней платежной системы [3, стр. 131], а это значит что стандарт PCI DSS распространяется также и на эти платежные системы, обеспечивающие возможность банкам-эмитентам создавать эмуляцию банковской карты на базе уже существующей карты сторонней платежной системы.

Международная платежная система Visa использует сетевой сервис взаимодействия VisaNet, а международная платежная система MasterCard использует сетевой сервис взаимодействия BankNet.

Стандарт определяет требования к организациям, в которых хранятся, обрабатываются или передаются данные банковских карт, а также к организациям, которые могут влиять на безопасность этих данных. Цель стандарта – обеспечить безопасность обращения банковских карт. Таким образом все организации, вовлеченные в процесс хранения, обработки и передачи данных банковских карт должны соответствовать требованиям PCI DSS .

PCI DSS включает в себя 6 областей контроля и 12 основных требований по безопасности:

Область контроля №1, построение и сопровождение защищенной сети:

• •    Требование 1: создание и сопровождение конфигурации межсетевого экрана для защиты данных держателей банковских карт ;

• •    Требование 2: не использование выставленных по умолчанию производителями системных паролей и других параметров безопасности.

Межсетевой экран – это основа обеспечения безопасности. Грамотное проектирование циркулируемого траффика приводит инфраструктуру участника транзакционной индустрии в системный и управляемый формат. Тем не менее, в последней версии стандарта PSI DSS делается некоторое смягчение формулировки первого требования и подразумевается факт фильтрации и блокировки траффика не только средствами меж- сетевого экрана, но и иными промышленными решениями.

Помимо осуществления блокировки и фильтрации сетевого траффика на основных компонентах рассматриваемой системы, также подразумеваются персональные межсетевые экраны на рабочих станциях сотрудников компании с соответствующей конфигурацией. Иными словами, межсетевой экран – это элемент сети, осуществляющий контроль и фильтрацию поступающей информации, который должен пресечь несанкционированный доступ в сеть. Согласно этому же требованию сотрудник компании не может изменять параметры работы межсетевого экрана – это самая трудноконтролируемая процедура со стороны администратора информационной безопасности организации. Второе требование напоминает администраторам информационной безопасности организации об обязательном изменении системных параметров, заданных производителем по умолчанию.

Область контроля №2, защита данных держателей банковских карт :

• •    Требование 3: обеспечение защиты данных держателей банковских карт в ходе их хранения;

• •    Требование 4: обеспечение шифрования данных держателей банковских карт при их передаче через сеть интернет.

Данная группа требований регламентирует критичные методы защиты данных, а именно использование политики ключей безопасности и иных методов шифрования, а также раскрывает область их применения, в то время как остальные методы защиты информации, описанные в других требованиях, позиционируются в качестве средств снижения рисков компрометации данных банковских карт. Так как хранение данных о владельцах банковских карт в зашифрованном виде позволяет исключить факт их незаконного использования злоумышленником, если данные каким-либо образом попадут в распоряжение злоумышленника.

Требования данной области контроля носят максимально жесткую формули- ровку, что позволяет однозначно ее интерпретировать объектом и субъектом аудита, а также исключить разночтения. Полезной практикой при хранении данных о держателях банковских карт, относящихся к персональным данным физических лиц – держателей банковских карт, является их «обезличивание» – процедура удаления или независимого хранения фрагментов персональных данных физических лиц – держателей банковских карт, которые в в случае компрометации в декомазированном виде не могут однозначно идентифицировать своего владельца.

Область контроля №3, поддержка программы управления уязвимостями:

• •    Требование 5: использование и регулярное обновление антивирусного программного обеспечения;

• •    Требование 6: разработка и поддержка защищенных систем и приложений.

Под управлением уязвимостями понимается своевременная установка актуальных обновлений, включающих антивирусное программное обеспечение. Также требование распространяется на разработку, поддерживание и использование безопасных приложений, в том числе и веб-ориентированных.

Область контроля №4, реализация мер по строгому контролю доступа:

• •    Требование 7: разграничение доступа к данным по принципу служебной необходимости;

• •    Требование 8: присвоение уникального идентификационного номера каждому лицу, располагающему доступом к компьютеру;

• •    Требование 9: ограничение физического доступа к данным держателей банковских карт .

Требования носят организационнотехнический характер обеспечения защиты информации с использованием как организационных мер обеспечения безопасности, так и механизмов физического доступа и мониторинга.

Область контроля №5, регулярный мониторинг и тестирование сети:

• •    Требование 10: отслеживание всех сеансов доступа к сетевым ресурсам и данным владельцев карт;

• •    Требование 11: регулярное тестирование систем и процессов обеспечения безопасности.

Необходимость выполнения данных требований требует систематического тестирования системы безопасности и порождает на рынке информационной безопасности спектр услуг в виде внутренних и внешних тестов на проникновение, сканирования инфраструктуры на уязвимости от разных поставщиков. Таким образом формируя узкопрофильную нишу на рынке услуг информационной безопасности.

Область контроля №6, поддержка политики информационной безопасности:

• •    Требование 12: наличие и исполнение в организации политики информационной безопасности.

Данное требование по масштабам своей реализации является одним из трудоемких в плане реализации. Требование заключается в формировании собственной политики информационной безопасности участника транзакционной инфраструктуры, включающей все вышеизложенные требования стандарта PCI DSS , также допускается собственные инновации в части усиления мер информационной безопасности.

Существуют различные способы подтверждения соответствия требованиям стандарта PCI DSS , которые заключаются в проведении:

• •    внешнего аудита;

• •    внутреннего аудита;

• •    проведении организацией самооценки.

Внешний аудит выполняется внешней аудиторской организацией, сертифицированной Советом PCI SSС . В ходе проверки аудиторы собирают свидетельства выполнения требований стандарта и сохраняют их на период длительностью в три года.

Внутренний аудит выполняется внутренним, прошедшим обучение и сертифицированным по программе Совета PCI SSC, аудитором.

Что касается самооценки, то она вы- построение и сопровождение защищенной сети; защита данных держателей банковских карт; поддержка програм- полняется самостоятельно путем запол- мы управления уязвимостями; реализа- нения регламентированного чек-листа самооценки. В этом случае сбор свидетельств выполнения требований стандарта не требуется.

Соответствие требованиям стандарта PCI DSS свидетельствует о том, что у участника транзакционной инфраструктуры, например у банка-эмитента или банка-эквайера , созданы условия для минимизации операционных и репутационных рисков в части процесса обслуживания банковских карт и основной целью соответствия данным стандартам является и стремление защитить данные держателей банковских карт и имидж компании.

Заключение

Резюмируя вышеизложенное, стандарт PCI DSS распространяется на всех участников, обеспечивающих инфраструктуру транзакционного рынка и включает в себя 6 областей контроля:

ция мер по строгому контролю доступа; регулярный мониторинг и тестирование сети; поддержка политики информационной безопасности.

В каждой описанных областей контроля описаны требования, предъявляемые стандартом PCI DSS к участникам рынка транзакционной инфраструктуры. В статье раскрывается проблематика каждой из областей контроля и подробно препарируются требования стандарта PCI DSS .

Автор намеренно не раскрывает инструменты исполнения требований стандарта PCI DSS , введу того, что специфика деятельности участника рынка транзакционных услуг напрямую влияет на избираемые инструменты удовлетворения требований стандарта PCI DSS и этот вопрос требует подробного рассмотрения за пределами данной статьи.