Стандарт PCI DSS с управлением рисками информационной безопасности

PCI DSS содержит единый набор требований к обеспечению безопасности информации для всех организаций, которые обрабатывают сведения о держателях карт. Документ подходит для применения и в других областях, например в ритейле. В статье мы рассмотрим вопрос риск-менеджмента в сфере информационной безопасности, выделяя именно кредитно-финансовые организации.

Главные требования PCI DSS

Стандарт состоит из 12 требований в шести категориях:

• создание, поддержка и управление защищенной сетью и информационными системами;
• защита данных держателя карт;
• поддержка системы управления уязвимостями;
• внедрение строгих мер контроля доступом;
• тестирование и отслеживание состояния сети;
• соблюдение политики информационной безопасности.

PCI DSS охватывает все современные требования к информационной безопасности: от установки соответствующих межсетевых экранов и защиты всех информационных систем до ограничения физического доступа к данным о держателях карт.

Последнее обновление стандарта значительно повысило требования по обеспечению безопасности индустрии платежных карт. Несмотря на то что кредитно-финансовые организации должны регулярно проводить оценку соответствия состояния ИБ требованиям PCI DSS, они теперь также несут ответственность за рассмотрение всех процедур третьей стороной, которой, как правило, является независимая консалтинговая организация, имеющая достаточные компетенции для проведения оценки соответствия стандарту. Все третьи стороны должны подтвердить в письменной форме, что они соблюдают требования.

Иерархия PCI DSS

Верхним уровнем, обеспечивающим поддержку системы PCI DSS, являются непосредственно платежные системы ("Мир", Visa, MasterCard, American Express и т.д.). Ниже по иерархии кредитно-финансовые организации, выступающие в качестве посредников между платежной системой и торговыми организациями, которые уже инициируют транзакции платежей клиентов.

С точки зрения банков ритейл является самым уязвимым звеном в цепи транзакций. Такое мнение сформировалось из-за непроработанного подхода к обеспечению безопасности платежей со стороны сферы ритейла. Большинство таких организаций не осознает всей важности стандарта PCI DSS, который играет значительную роль в формировании политики управления рисками информационной безопасности.

Проблематика: в поисках "слабого звена"

Одной из самых больших проблем с инициативами, касающимися соблюдения PCI DSS, является рассмотрение стандарта как уникального и независимого набора требований вместо интеграции этих требований в целостную программу информационной безопасности. Данный подход также не учитывает, что PCI DSS является частью общего процесса управления рисками кредитно-финансового учреждения. Это приводит к недостаточному объему усилий по обеспечению информационной безопасности и в итоге к повышению вероятности утечки данных.

Например, часто возникает ситуация, в которой банковские информационные системы и приложения, рассматриваемые в рамках обработки данных о держателях карт, относительно хорошо защищены и в целом можно сделать заключение, что требования стандарта выполняются. Но практически всегда из поля зрения уходят смежные информационные системы, которые оказываются куда менее защищенными. На практике это приводит к тому, что уязвимости эксплуатируются на самых, казалось бы, незначительных звеньях внутренней сети, вследствие чего злоумышленник имеет возможность получить доступ к более защищенной среде с данными о держателях карт. Во многих случаях такой тип атак еще сложнее обнаружить, поскольку доступ к чувствительной информационной системе из внутренней сети контролируется слабее.

Концепция управления рисками ИБ

Согласно правильной концепции управления рисками информационной безопасности необходимо выявить угрозы и уязвимости не только для наиболее критичных систем, но и для всей инфраструктуры организации, включая даже самые малозначительные узлы.

Фактически риск является некой количественной или качественной мерой незащищенности информационной системы и носит вероятностно-стоимостную оценку возможных потерь.

Существует множество различных методик определения величины риска. Каждая организация должна выбрать для себя наиболее подходящую. Наиболее популярная и простая в понимании оценка выполняется по трем параметрам, которые относятся к определенному активу организации:

• вероятность реализации угрозы ИБ;
• критичность уязвимости, которую может проэксплуатировать выявленная угроза;
• стоимость актива, который подвергается угрозе.

Самая большая и трудоемкая задача – провести качественное выявление уязвимостей и оценку критичности угроз и ценностей активов. Можно вычислить показатели множителей, не углубляясь в бизнес-процессы и инфраструктуру, но результатом будет являться субъективная оценка, которая не всегда отражает действительность. Одним из ключевых показателей зрелости процесса управления рисками является углубленное понимание и анализ первопричин различных отклонений и недоработок, а также непрерывный мониторинг лучших мировых практик в данной отрасли. Это поможет адаптироваться к изменяющимся условиям и требованиям.

Основа реальной безопасности

Неформализованный подход к соответствию требованиям PCI DSS часто приводит к увеличению факторов риска, создавая расхождения в уровнях безопасности между различными средами в инфраструктуре организации. Процесс внедрения реальной информационной безопасности очень трудоемкий, требует высоких компетенций и финансовых затрат на реализацию. Отправная точка в становлении этого процесса – признание существующих проблем, понимание необходимости реализации соответствующих мер и, самое главное, адекватная поддержка руководства.

Опубликовано: Журнал "Системы безопасности" #6, 2018

Больше статей по теме "Безопасность банков" >>>