Журнал "Системы Безопасности" № 6‘2018

S E C U R I T Y A N D I T M A N A G E M E N T 30 P CI DSS содержит единый набор требований к обеспечению безопасности информации для всех организаций, которые обрабатывают сведения о держателях карт. Документ подхо- дит для применения и в других областях, например в ритейле. В статье мы рассмотрим вопрос риск-менеджмента в сфере информа- ционной безопасности, выделяя именно кредитно-финансовые организации. Главные требования PCI DSS Стандарт состоит из 12 требований в шести категориях: 1) создание, поддержка и управление защи- щенной сетью и информационными системами; 2) защита данных держателя карт; 3) поддержка системы управления уязвимо- стями; 4) внедрение строгих мер контроля доступом; 5) тестирование и отслеживание состояния сети; 6) соблюдение политики информационной без- опасности. PCI DSS охватывает все современные требова- ния к информационной безопасности: от уста- новки соответствующих межсетевых экранов и защиты всех информационных систем до ограничения физического доступа к данным о держателях карт. Последнее обновление стандарта значительно повысило требования по обеспечению безопас- ности индустрии платежных карт. Несмотря на то что кредитно-финансовые организации должны регулярно проводить оценку соответ- ствия состояния ИБ требованиям PCI DSS, они теперь также несут ответственность за рассмот- рение всех процедур третьей стороной, кото- рой, как правило, является независимая кон- салтинговая организация, имеющая достаточ- ные компетенции для проведения оценки соот- ветствия стандарту. Все третьи стороны должны подтвердить в письменной форме, что они соблюдают требования. Иерархия PCI DSS Верхним уровнем, обеспечивающим поддержку системы PCI DSS, являются непосредственно платежные системы ("Мир", Visa, MasterCard, American Express и т.д.). Ниже по иерархии кре- дитно-финансовые организации, выступающие в качестве посредников между платежной систе- мой и торговыми организациями, которые уже инициируют транзакции платежей клиентов. С точки зрения банков ритейл является самым уязвимым звеном в цепи транзакций. Такое мнение сформировалось из-за непроработан- ного подхода к обеспечению безопасности пла- тежей со стороны сферы ритейла. Большинство таких организаций не осознает всей важности стандарта PCI DSS, который играет значитель- ную роль в формировании политики управле- ния рисками информационной безопасности. Проблематика: в поисках "слабого звена" Одной из самых больших проблем с инициати- вами, касающимися соблюдения PCI DSS, является рассмотрение стандарта как уникаль- ного и независимого набора требований вместо интеграции этих требований в целостную про- грамму информационной безопасности. Дан- ный подход также не учитывает, что PCI DSS является частью общего процесса управления рисками кредитно-финансового учреждения. Это приводит к недостаточному объему усилий по обеспечению информационной безопасно- сти и в итоге к повышению вероятности утечки данных. Например, часто возникает ситуация, в которой банковские информационные системы и при- ложения, рассматриваемые в рамках обработки данных о держателях карт, относительно хоро- шо защищены и в целом можно сделать заключение, что требования стандарта выпол- няются. Но практически всегда из поля зрения уходят смежные информационные системы, которые оказываются куда менее защищенны- ми. На практике это приводит к тому, что уязви- мости эксплуатируются на самых, казалось бы, незначительных звеньях внутренней сети, вследствие чего злоумышленник имеет возмож- ность получить доступ к более защищенной среде с данными о держателях карт. Во многих случаях такой тип атак еще сложнее обнару- жить, поскольку доступ к чувствительной информационной системе из внутренней сети контролируется слабее. Концепция управления рисками ИБ Согласно правильной концепции управления рисками информационной безопасности необходимо выявить угрозы и уязвимости не только для наиболее критичных систем, но и для всей инфраструктуры организации, вклю- чая даже самые малозначительные узлы. Фактически риск является некой количествен- ной или качественной мерой незащищенности информационной системы и носит вероятност- но-стоимостную оценку возможных потерь. Существует множество различных методик определения величины риска. Каждая органи- зация должна выбрать для себя наиболее под- ходящую. Наиболее популярная и простая в понимании оценка выполняется по трем пара- метрам, которые относятся к определенному активу организации: 1) вероятность реализации угрозы ИБ; 2) критичность уязвимости, которую может проэксплуатировать выявленная угроза; 3) стоимость актива, который подвергается угрозе. Самая большая и трудоемкая задача – провести качественное выявление уязвимостей и оценку критичности угроз и ценностей активов. Можно вычислить показатели множителей, не углубля- ясь в бизнес-процессы и инфраструктуру, но результатом будет являться субъективная оценка, которая не всегда отражает действительность. Одним из ключевых показателей зрелости про- цесса управления рисками является углубленное понимание и анализ первопричин различных отклонений и недоработок, а также непрерывный мониторинг лучших мировых практик в данной отрасли. Это поможет адаптироваться к изменяю- щимся условиям и требованиям. Основа реальной безопасности Неформализованный подход к соответствию требованиям PCI DSS часто приводит к увеличе- нию факторов риска, создавая расхождения в уровнях безопасности между различными сре- дами в инфраструктуре организации. Процесс внедрения реальной информационной без- опасности очень трудоемкий, требует высоких компетенций и финансовых затрат на реализа- цию. Отправная точка в становлении этого про- цесса – признание существующих проблем, понимание необходимости реализации соот- ветствующих мер и, самое главное, адекватная поддержка руководства. n декабрь 2018 – январь 2019 www.secuteck.ru СПЕЦПРОЕКТ РИТЕЙЛ Ваше мнение и вопросы по статье направляйте на ss @groteck.ru Ирина Носова Консультант по информационной безопасности компании "ЛАНИТ-Интеграция" (ГК "ЛАНИТ") Согласование требований стандарта PCI DSS с управлением рисками информационной безопасности С каждым годом борьба за защиту конфиденциальных данных платежных карт и их владельцев продолжит усиливаться. Организации, обрабатывающие эти данные, подвергаются все более изощренным атакам. Нарушение конфиденциальности информации клиента может грозить кредитно-финансовому учреждению значи- тельными репутационными рисками, снижением доходов и, как следствие, возрас- танием расходов на реституцию. Одним из наиболее популярных способов реше- ния этой проблемы является стандарт безопасности данных индустрии платежных карт PCI DSS