Некоторые мифы о PCI DSS. Стоит ли ими руководствоваться?

Некоторые мифы о PCI DSS. Стоит ли ими руководствоваться?

В последние три недели стало модно обсуждать, «кто уходит, а кто остаётся в России», а также «что нам стоит оставить, а от чего избавиться». В связи с этим появляется много мифов. Не обошли эти мифы стороной и стандарт безопасности данных индустрии платёжных карт PCI DSS. Я решил развеять некоторые из них.

Миф: PCI DSS – это стандарт

Да, PCI DSS – это стандарт. При этом стоит учитывать, что это один из элементов целой экосистемы безопасности карточной индустрии. В экосистему входит 12 стандартов: PCI DSS, PA-DSS, SSS, SSLCS, P2PE, PTS, Card Production, 3DS CSS, CPoC, PIN Security, SPOC и PCI TSP Security Requirements. Кроме стандартов, в экосистему входят ещё и международный и национальные регуляторы, аудиторы, процедуры контроля качества аудитов, база знаний на основе многолетнего опыта обеспечения безопасности карточной индустрии, а также учебные курсы.

Миф: PCI DSS больше не нужен, поскольку VISA и MasterCard ушли из России

Нет. Платёжная система «Мир» продолжает работать и нуждается в эффективной защите всех своих участников. Защита должна быть целенаправленной, должна учитывать всю специфику именно карточных платёжных технологий. Кроме того, карты ушедших платёжных систем, выпущенные российскими банками, продолжают использоваться населением. Транзакции по этим картам внутри России обрабатывает АО НСПК – оператор платёжной системы «Мир». Риски утечки данных этих карт и последующего хищения денежных средств населения в ближайшее время возрастут по нескольким причинам. Во-первых, пользователи чаще будут вводить в Интернете данные карт в открытом виде из-за отключения функций Apple Pay и Google Pay. Во-вторых, срок действия таких карт многие банки объявили теперь неограниченным, а значит, некоторые скомпрометированные карты потенциально будут дольше оставаться незаблокированными. По этим и другим причинам АО НСПК продолжает требовать от своих участников соответствия PCI DSS и прохождения QSA-аудитов. По моей информации, оператор платёжной системы «Мир» не планирует отказываться от этих требований. Кроме того, российские банки сейчас активно развивают сотрудничество с платёжной системой Union Pay, которая также применяет стандарт PCIDSS в качестве набора требований по защите карточных данных.

Миф: PCI DSS можно прямо сейчас заменить аналогом в России

Заменить, конечно, можно всё. Но для этого нужно создать аналог, столь же эффективный в деле защиты индустрии и населения. На данный момент замена не готова. Российского стандарта, учитывающего всю специфику и технологии безопасности карточной индустрии, нет, а задача по его созданию пока, насколько мне известно, не ставилась. Да и все предыдущие обсуждения идей создания такой альтернативы приводили участников дискуссии к выводу, что это будет попытка «изобрести велосипед». Также, как уже сказано выше, PCI DSS – это далеко не только стандарт, но и система сертификации, мотивирующая участников индустрии выполнять требования по защите платёжных карт.

Миф: ГОСТ Р 57580 уже сейчас полностью может заменить собой PCI DSS

Не может. И не имеет такой цели. По крайней мере, в сегодняшней своей редакции. ГОСТ Р 57580 – это обширный стандарт защиты информации финансовых организаций в целом. А PCI DSS – это локальная инструкция о том, как защитить очень специфичный набор данных: номера карт, проверочные коды, ПИН-коды и ещё несколько столь же конкретных параметров, утечка которых всегда приводит к прямым финансовым потерям населения. Маршрут движения этих данных весьма ограничен, операции, выполняемые с ними,— тоже, технологии во многих компаниях плюс-минус похожие, протокол передачи описан в стандарте ISO 8583 и не особо варьируется от системы к системе. Отсюда и весьма конкретные методики защиты этих данных: принципы сегментации сети, запрет на хранение некоторых видов данных, требования к физической безопасности POS-терминалов и так далее. Если проводить аналогию, то ГОСТ Р 57580 можно сравнить с Федеральным законом, а PCI DSS – с подзаконным нормативным актом, например приказом органа исполнительной власти. В том смысле, что ГОСТ Р 57580 устанавливает общие требования к рассматриваемой области, а PCI DSS даёт инструкцию о том, как эти требования выполнить в отношении конкретной технологии. Разумеется, эта аналогия сильно ограничена, но, надеюсь, хорошо иллюстрирует мысль о том, что частное нельзя заменить общим.

Миф: ГОСТ Р 57580 предоставляет такую же степень защиты, как и PCI DSS

Это нельзя сравнивать, поскольку подход к оценке соответствия этим двум стандартам принципиально разный. В PCI DSS подход бинарный: либо ты соответствуешь на 100% всем применимым требованиям, и тогда ты молодец, либо ты хоть какое-то актуальное для тебя требование не выполнил, и ты не соответствуешь стандарту. При этом для ГОСТ Р 57580 существует понятие «уровень соответствия», который измеряется от нулевого до пятого. На практике большинство организаций выделяют отдельный контур для PCI DSS, поскольку не готовы соблюдать столь же строгие правила информационной безопасности для всего контура ГОСТ Р 57580, который обычно в разы шире, чем карточный процессинг, по количеству приложений, баз данных, серверов, сетевого оборудования и людей.

Миф: в ГОСТ Р 57580 есть все те же самые требования, что и в PCI DSS

Нет, далеко не все. Разумеется, основные подходы к обеспечению информационной безопасности во всём мире сильно похожи. Если сравнивать стандарты с этой точки зрения, то между ними мало различий. Но вся суть в конкретике, в методах защиты именно карточных данных. Вот некоторые примеры требований, которые в силу специфики есть в PCI DSS, но отсутствуют в ГОСТ 57580:

• разделение сети на среду хранения карточных данных и на DMZ;
• запрет хранения критичных аутентификационных данных после авторизации транзакции;
• запрет хранения карточных данных в открытом виде;
• минимизация мест хранения карточных данных;
• запрет хранения маски и хеша номера карты вместе;
• множество требований к процессу управления криптографическими ключами, используемыми для шифрования карточных данных;
• требование о маскировании номеров карт при отображении;
• запрет использования пользовательских технологий передачи сообщений для передачи карточных данных;
• требования о контроле соответствия поставщиков услуг и о распределении ответственности за выполнение требований PCI DSS;
• детальные требования к процессу безопасной разработки программного обеспечения;
• более строгие требования к процессу управления изменениями, детализирующие участников и этапы внесения изменений в компоненты информационной инфраструктуры, чем раздел ЖЦ в ГОСТ Р 57580;
• требование о документированном описании инфраструктуры и бизнес-процессов в виде схем и диаграмм, документировании и обосновании всех правил межсетевого экрана;
• детализация состава стандартов конфигурации компонентов информационной инфраструктуры;
• запрет совмещения нескольких функций, различных по уровню безопасности, на одном сервере;
• требование об отключении всех неиспользуемых служб, протоколов и функций;
• требование об обязательной смене выданного пароля после первого входа;
• требования о контроле доступа в помещения с сетевыми розетками;
• требование о визуально отличимых бейджах для работников и посетителей;
• требование о проверке устройств, считывающих карты, на наличие скиммеров и прочих несанкционированно установленных устройств;
• требование о проверке на наличие неавторизованных точек доступа Wi-Fi;
• детализация состава информации, входящей в журналы протоколирования событий;
• обязательный ежедневный мониторинг событий;
• внешнее ASV-сканирование уязвимостей;
• детализация требований к методологии тестирования на проникновение, обязательное проведение как внешнего, так и внутреннего пентеста, а также пентеста сегментации;
• требование о кадровых проверках;
• детализация требований к планам реагирования на инциденты;
• ежеквартальные внутренние аудиты выполнения регулярных процедур.

Миф: применяя в России стандарт PCI DSS, мы сливаем за рубеж сведения о защищённости нашей критичной инфраструктуры

Не сливаем. Процедура оценки соответствия PCI DSS не предполагает отправки отчётных документов в Совет PCI SSC. Более того, она не предполагает даже информирования Совета PCI SSC о факте проведённой оценки. Есть, правда, процедура контроля качества работы аудиторов. В рамках этой процедуры Совет PCI SSC может запросить у QSA-аудитора отчётные документы по некоторым попавшим в выборку аудитам. И вот эта тема, с учётом новой мировой ситуации, возможно, требует дополнительного обсуждения и принятия каких-то решений. Следует отметить, что процедура проверки качества очень редкая. Большинство российских QSA-компаний проходили такую проверку всего один раз за всю историю существования. Думаю, если проверка случится, то вопрос непредоставления конфиденциальных отчётов по отдельным российским компаниям можно будет легко решить, поскольку Совет PCI SSC всегда ставит локальное законодательство выше стандарта.

Кроме Совета PCI SSC, есть также международные и национальные платёжные системы. И вот в платёжную систему VISA до сих пор аудиторы отправляли детальные отчёты по некоторым российским компаниям. Это делалось не просто с согласия, а по просьбе самих этих компаний. Теперь же, с уходом VISA, эта проблема решится сама собой: если компания не работает с платёжной системой, то и отправлять в эту платёжную систему её отчётные документы не требуется и не имеет никакого смысла. Отчёты по российским компаниям будут отправляться только в НСПК.

Итого

Заменить PCI DSS российским аналогом, конечно, можно, но в этом нет никакого смысла. Не зря эта тема прорабатывалась с 2014 года, и после детального анализа было принято решение для российской НСПК наследовать международный опыт в деле защиты платёжных карт. Это ни в коей мере не делает нашу платёжную инфраструктуру зависимой или уязвимой, поскольку стандарт – это инструмент. Использование двигателей внутреннего сгорания не делает наши автомобили уязвимыми или зависимыми от зарубежных структур лишь потому, что западные автомобили тоже оснащены такими же двигателями. Создание собственного аналога стандарта PCI DSS сразу поставит перед отраслью несколько сложных и трудоёмких задач: нужно создать и развить такой аналог, нужно создать систему сертификации, нужно приучить целую отрасль к новому стандарту. На это уйдут годы, а польза от такого решения будет весьма сомнительной. Попытки «на хайпе» протащить замену эффективного механизма защиты российской карточной индустрии чем-то новым, или тем, что создавалось совсем с другими целями, лишь подвергнут участников индустрии и всё население нашей страны существенным информационным и финансовым рискам. Аналог, если он будет создаваться, как вариант, может стать развитием ГОСТ Р 57580, неким подчинённым ему документом. Но ГОСТ в сегодняшнем его виде не является таким аналогом и не пытается им быть.