Блог

PCI DSS — проблемы применения стандарта и способы его внедрения без проблем

Автор: Евгений Безгодов

По материалам статьи автора, опубликованной в журнале «Информационная безопасность» №6, 2011, с. 40

Что такое успешное внедрение стандарта безопасности данных индустрии платёжных карт — PCI DSS в карточной платёжной инфраструктуре? Чего стоит требовать от консультантов и аудиторов и как получить от них максимум?

Выполнив множество проектов по внедрению стандарта PCI DSS в банках и предприятиях Интернет-коммерции, мы убедились, что цели, задачи и приоритеты в таких проектах индивидуальны для каждого заказчика. Однако среди них можно выделить достаточно общий для всех набор требований.

От процесса внедрения и сертификации заказчику необходимо:

  • Качественное планирование проекта;
  • Соблюдение сроков;
  • Обеспечение оптимальности затрат на достижение соответствия;
  • Минимальная нагрузка на сотрудников заказчика.

Качество результата такого проекта измеряется, прежде всего:

  • Получением сертификата соответствия;
  • Минимальными изменениями для бизнеса;
  • Оптимальными затратами на поддержание соответствия.

Предлагаем вашему вниманию памятку о том, что нужно проконтролировать на каждом этапе проекта внедрения стандарта PCI DSS.

Этап 1: Обследование инфраструктуры

Перед заключением договора рекомендуется обсудить с исполнителем:

  • Необходимость предоставления заказчику анкет для сбора предварительной информации об инфраструктуре;
  • Форму и степень детализации отчёта об обследовании;
  • Участие сертифицированного QSA-аудитора в выполнении обследования. Такое участие не обязательно, но, несомненно, даёт большую уверенность в качестве результата;
  • Сроки исполнения работ.

В процессе выполнения:

  • Предупредите сотрудников, что они будут общаться с консультантом, а не с аудитором, его не надо бояться и ему следует предоставить максимум информации, особенно касающейся недостатков в защите карточных данных;
  • Чтобы оценить качество работы исполнителя на этом этапе, обратите внимание на то, как проводятся интервью с сотрудниками. Если отвечая на вопросы аудитора, сотрудники вдруг открывают для себя что-то новое в своей собственной работе — это очень хорошее интервью;
  • Получив отчёт об обследовании, проверьте качество его оформления и наличие всех наблюдений о системе, которые вы считаете важными.

Этап 2: Разработка решений по выполнению требований стандарта

Перед заключением договора обсудите с исполнителем:

  • Необходимость предоставления на выбор возможных вариантов решения для каждого требования стандарта;
  • Необходимость включения в перечень предлагаемых вариантов как коммерческого и бесплатного (Open Source) программного обеспечения;
  • Промежуточные контрольные точки — моменты времени, когда вам могут быть представлены для согласования и корректирования промежуточные результаты разработки.

В процессе выполнения:

  • Заранее обсудите с исполнителем ваши предпочтения по выбору программного и аппаратного обеспечения, сохранению или изменению бизнес-процессов, связанных с обработкой карточных данных, и прочие важные аспекты внедрения PCI DSS;
  • Обсудите и при необходимости попросите скорректировать промежуточные результаты разработки;
  • Выясните возможные альтернативы предложенным решениям.

Этап 3: Разработка компенсационных мер

В случае, если существуют технические или бизнес ограничения, не позволяющие напрямую выполнить какое-либо из требований стандарта, стоит еще на этапе выбора исполнителя обсудить возможность разработки компенсационных мер.

В процессе выполнения проекта подробно расскажите консультанту о технических ограничениях и требованиях бизнеса. Если они препятствуют прямому выполнению какого-либо из требований стандарта, рассмотрите возможные компенсационные меры.

Следует иметь в виду, что компенсационные меры часто оказываются дороже прямого выполнения требования, хотя бывают и обратные ситуации.

Главный критерий при выборе компенсационной меры: нужна эффективная защита данных о держателях карт, а не просто формальное выполнение требования стандарта.

Этап 4: Внедрение

При планировании и внедрении мер по защите данных о держателях платёжных карт стоит подумать о возможности их применения и для защиты других активов организации. При правильной организации можно извлечь из проекта по внедрению PCI DSS существенную пользу для защиты всего бизнеса. Например, можно выполнить тестирование на проникновение других критичных информационных систем. Также можно совместить с внедрением PCI DSS проект по выполнению требований законодательства или стандартов, необходимых для ведения бизнеса — Закона «О персональных данных», стандартов ISO 27001 и СТО БР ИББС-1.0.

Этап 5: Разработка нормативных документов

Перед заключением договора обсудите с исполнителем, какой набор документов будет им разработан. В идеале, исполнитель должен предоставить все документы, необходимые и достаточные для достижения и поддержания соответствия стандарту — от Политики информационной безопасности, до частных инструкций для сотрудников, форм журналов и заявок на предоставление прав доступа. Соответствующий пункт следует предусмотреть в договоре.

Однако, не стоит прописывать в договоре конкретный перечень разрабатываемых документов, так как он индивидуален для каждого заказчика и может быть определен только в ходе исполнения проекта после предварительного обследования организации.

Заранее обсудите удобный формат документации и определите, как она будет интегрирована с уже существующими в компании документами.

Этап 6: Испытания — ASV-сканирование и тестирование на проникновение

В случае выявления уязвимостей в ходе тестирования на проникновение, их необходимо устранить. Устранение должно быть подтверждено повторным тестированием. Поэтому, стоит заранее узнать, на каких условиях исполнитель будет выполнять повторное тестирование.

После успешного прохождения сертификации нужно обязательно строго соблюдать график ежеквартальных автоматизированных ASV-сканирований уязвимостей периметра сети — это позволит избежать трудностей при повторном прохождении сертификации на следующий год.

Этап 7: Сертификационный аудит

Для выполнения сертификационного аудита не только компания, но и конкретные её сотрудники, выполняющие проверки, должны обладать статусом сертифицированного аудитора — QSA. Проверить наличие такого статуса, как у компании, так и у её сотрудников можно на сайте регулятора отрасли — международного Совета PCI SSC — www.pcisecuritystandards.org.

Выполнение описанных рекомендаций позволит сделать проект по внедрению и сертификации по стандарту PCI DSS более управляемым и приблизит его результат к ожиданиям заказчика.

0

Добавить комментарий