Требования к информационной безопасности для участников рынка транзакционной инфраструктуры
Автор: Екимов Е.Л.
Журнал: Экономика и бизнес: теория и практика @economyandbusiness
Статья в выпуске: 6 (40), 2018 года.
Бесплатный доступ
В статье рассматриваются требования к информационной безопасности для участников рынка транзакционной инфраструктуры, данные требования описаны в стандарте PCI DSS, разработанном при участии международных платежных систем. Автором описываются 6 областей контроля, описанных в стандарте: построение и сопровождение защищенной сети; защита данных держателей карт; поддержка программы управления уязвимостями; реализация мер по строгому контролю доступа; регулярный мониторинг и тестирование сети; поддержка политики информационной безопасности. Раскрывается проблематика каждой из областей контроля и подробно препарируются требования стандарта PCI DSS.
Платежная система, держатель банковской карты, банк-эмитент, банк-эквайер, процессинговый центр
Короткий адрес: https://sciup.org/170181010
IDR: 170181010
Текст научной статьи Требования к информационной безопасности для участников рынка транзакционной инфраструктуры
С сентября 2006 года стандарт PCI DSS введен на территориях Европы, России, СНГ и Африканского континента, как обязательный к выполнению для всех участников транзакционного рынка. В связи с этим, все банки-эмитенты и банки-эквайеры, а также иные участники, обеспечивающие транзакционную инфраструктуру (например процессинговые центры, обслуживающие банки-эмитенты и банки-эквайеры, интернет-провайдеры, дата-центры, платежные шлюзы и тд.), работающие на прямую с сетевым сервисом взаимодействия с платежной системой должны пройти процедуру аудита на соответствие требованиям стандарта PSI DSS. Автор считает необходимым принять во внимание, что процессинговый центр участвует как со стороны банка-эквайера, так и со стороны банка-эмитента [4]. Также следует учесть, что на сегодняшний день рынок эквайринга эволюционировал, сформировав новый вид участника рынка – платежную систему, обеспечивающую воз- можность банкам-эмитентам создавать эмуляцию банковской карты на базе уже существующей карты сторонней платежной системы [3, стр. 131], а это значит что стандарт PCI DSS распространяется также и на эти платежные системы, обеспечивающие возможность банкам-эмитентам создавать эмуляцию банковской карты на базе уже существующей карты сторонней платежной системы.
Международная платежная система Visa использует сетевой сервис взаимодействия VisaNet, а международная платежная система MasterCard использует сетевой сервис взаимодействия BankNet.
Стандарт определяет требования к организациям, в которых хранятся, обрабатываются или передаются данные банковских карт, а также к организациям, которые могут влиять на безопасность этих данных. Цель стандарта – обеспечить безопасность обращения банковских карт. Таким образом все организации, вовлеченные в процесс хранения, обработки и передачи данных банковских карт должны соответствовать требованиям PCI DSS .
PCI DSS включает в себя 6 областей контроля и 12 основных требований по безопасности:
Область контроля №1, построение и сопровождение защищенной сети:
-
• Требование 1: создание и сопровождение конфигурации межсетевого экрана для защиты данных держателей банковских карт ;
-
• Требование 2: не использование выставленных по умолчанию производителями системных паролей и других параметров безопасности.
Межсетевой экран – это основа обеспечения безопасности. Грамотное проектирование циркулируемого траффика приводит инфраструктуру участника транзакционной индустрии в системный и управляемый формат. Тем не менее, в последней версии стандарта PSI DSS делается некоторое смягчение формулировки первого требования и подразумевается факт фильтрации и блокировки траффика не только средствами меж- сетевого экрана, но и иными промышленными решениями.
Помимо осуществления блокировки и фильтрации сетевого траффика на основных компонентах рассматриваемой системы, также подразумеваются персональные межсетевые экраны на рабочих станциях сотрудников компании с соответствующей конфигурацией. Иными словами, межсетевой экран – это элемент сети, осуществляющий контроль и фильтрацию поступающей информации, который должен пресечь несанкционированный доступ в сеть. Согласно этому же требованию сотрудник компании не может изменять параметры работы межсетевого экрана – это самая трудноконтролируемая процедура со стороны администратора информационной безопасности организации. Второе требование напоминает администраторам информационной безопасности организации об обязательном изменении системных параметров, заданных производителем по умолчанию.
Область контроля №2, защита данных держателей банковских карт :
-
• Требование 3: обеспечение защиты данных держателей банковских карт в ходе их хранения;
-
• Требование 4: обеспечение шифрования данных держателей банковских карт при их передаче через сеть интернет.
Данная группа требований регламентирует критичные методы защиты данных, а именно использование политики ключей безопасности и иных методов шифрования, а также раскрывает область их применения, в то время как остальные методы защиты информации, описанные в других требованиях, позиционируются в качестве средств снижения рисков компрометации данных банковских карт. Так как хранение данных о владельцах банковских карт в зашифрованном виде позволяет исключить факт их незаконного использования злоумышленником, если данные каким-либо образом попадут в распоряжение злоумышленника.
Требования данной области контроля носят максимально жесткую формули- ровку, что позволяет однозначно ее интерпретировать объектом и субъектом аудита, а также исключить разночтения. Полезной практикой при хранении данных о держателях банковских карт, относящихся к персональным данным физических лиц – держателей банковских карт, является их «обезличивание» – процедура удаления или независимого хранения фрагментов персональных данных физических лиц – держателей банковских карт, которые в в случае компрометации в декомазированном виде не могут однозначно идентифицировать своего владельца.
Область контроля №3, поддержка программы управления уязвимостями:
-
• Требование 5: использование и регулярное обновление антивирусного программного обеспечения;
-
• Требование 6: разработка и поддержка защищенных систем и приложений.
Под управлением уязвимостями понимается своевременная установка актуальных обновлений, включающих антивирусное программное обеспечение. Также требование распространяется на разработку, поддерживание и использование безопасных приложений, в том числе и веб-ориентированных.
Область контроля №4, реализация мер по строгому контролю доступа:
-
• Требование 7: разграничение доступа к данным по принципу служебной необходимости;
-
• Требование 8: присвоение уникального идентификационного номера каждому лицу, располагающему доступом к компьютеру;
-
• Требование 9: ограничение физического доступа к данным держателей банковских карт .
Требования носят организационнотехнический характер обеспечения защиты информации с использованием как организационных мер обеспечения безопасности, так и механизмов физического доступа и мониторинга.
Область контроля №5, регулярный мониторинг и тестирование сети:
-
• Требование 10: отслеживание всех сеансов доступа к сетевым ресурсам и данным владельцев карт;
-
• Требование 11: регулярное тестирование систем и процессов обеспечения безопасности.
Необходимость выполнения данных требований требует систематического тестирования системы безопасности и порождает на рынке информационной безопасности спектр услуг в виде внутренних и внешних тестов на проникновение, сканирования инфраструктуры на уязвимости от разных поставщиков. Таким образом формируя узкопрофильную нишу на рынке услуг информационной безопасности.
Область контроля №6, поддержка политики информационной безопасности:
-
• Требование 12: наличие и исполнение в организации политики информационной безопасности.
Данное требование по масштабам своей реализации является одним из трудоемких в плане реализации. Требование заключается в формировании собственной политики информационной безопасности участника транзакционной инфраструктуры, включающей все вышеизложенные требования стандарта PCI DSS , также допускается собственные инновации в части усиления мер информационной безопасности.
Существуют различные способы подтверждения соответствия требованиям стандарта PCI DSS , которые заключаются в проведении:
-
• внешнего аудита;
-
• внутреннего аудита;
-
• проведении организацией самооценки.
Внешний аудит выполняется внешней аудиторской организацией, сертифицированной Советом PCI SSС . В ходе проверки аудиторы собирают свидетельства выполнения требований стандарта и сохраняют их на период длительностью в три года.
Внутренний аудит выполняется внутренним, прошедшим обучение и сертифицированным по программе Совета PCI SSC, аудитором.
Что касается самооценки, то она вы- построение и сопровождение защищенной сети; защита данных держателей банковских карт; поддержка програм- полняется самостоятельно путем запол- мы управления уязвимостями; реализа- нения регламентированного чек-листа самооценки. В этом случае сбор свидетельств выполнения требований стандарта не требуется.
Соответствие требованиям стандарта PCI DSS свидетельствует о том, что у участника транзакционной инфраструктуры, например у банка-эмитента или банка-эквайера , созданы условия для минимизации операционных и репутационных рисков в части процесса обслуживания банковских карт и основной целью соответствия данным стандартам является и стремление защитить данные держателей банковских карт и имидж компании.
Заключение
Резюмируя вышеизложенное, стандарт PCI DSS распространяется на всех участников, обеспечивающих инфраструктуру транзакционного рынка и включает в себя 6 областей контроля:
ция мер по строгому контролю доступа; регулярный мониторинг и тестирование сети; поддержка политики информационной безопасности.
В каждой описанных областей контроля описаны требования, предъявляемые стандартом PCI DSS к участникам рынка транзакционной инфраструктуры. В статье раскрывается проблематика каждой из областей контроля и подробно препарируются требования стандарта PCI DSS .
Автор намеренно не раскрывает инструменты исполнения требований стандарта PCI DSS , введу того, что специфика деятельности участника рынка транзакционных услуг напрямую влияет на избираемые инструменты удовлетворения требований стандарта PCI DSS и этот вопрос требует подробного рассмотрения за пределами данной статьи.
Список литературы Требования к информационной безопасности для участников рынка транзакционной инфраструктуры
- Екимов Е.Л. Межбанковская комиссия во взаиморасчетах между банком-эмитентом и банком-эквайером // Вестник Академии. 2017. №4. с. 62
- Дубова С.Е., Обаева А.С., Валинурова А.А., Кутузова А.К., Мазина Ю.Ю., Степанова Н.В. Платежные системы. Учебное пособие, МЦНИП, 2014. - 1189 с.
- Хабаров В.И., Екимов Е.Л. Исследование рынка эквайринга в розничной торговле Российской Федерации // Научное обозрение. 2017. №3.
- Екимов Е.Л. Участники сделки купли-продажи при использовании электронных денег // XV Международная научно-практическая конференция «Научный диалог: Экономика и менеджмент» от 08.06.2018, г. Санкт-Петербург.