Три регламента

Три регламента

2018 год богат на международные стандарты и обновления требований Регламентов по безопасности, которые вступают в силу и ожидаемо серьезно осложнят жизнь организациям. Как показывает практика, многие организации даже не подозревают, что они, в силу своей деятельности, попадают под действие Регламентов. Есть три, касающихся Европейского законодательства и финансовых организаций: PCI-DSS 3.2, GDPR и eIDAS. Они вступают в силу в феврале, мае и сентябре 2018 года соответственно.

Примечательно, что первые два Регламента предполагают существенные штрафы за их несоблюдение. Так размер штрафа за несоблюдение GDPR может составлять 2 миллиона евро, либо доходить до 4% годового оборота компании, в зависимости от того, какая сумма больше... Уверен, что до конца этого календарного года мир увидит реальные примеры применения наказаний за несоблюдение Регламентов по безопасности для Европейских и сотрудничающих с ними компаний, расположенных в разных частях мира.

В PCI-DSS 3.2, раздел 8.3, наиболее значительным изменением явилось требование многофакторной аутентификации для администраторов внутри защищенной инфраструктуры организации, имеющей дело с данными платежных карт. Это очень существенное и порой трудновыполнимое требование отражает понимание рисков, связанных с одной стороны с инсайдерами, а с другой – с привилегированными пользователями. Важно отметить, что в требованиях появилось явное описание понятия многофакторной аутентификации (то, что вы знаете - пароль, то, что вы имеете - токен, или то, что вам присуще - отпечаток пальца) и неприменимость многократного использования однофакторных, хотя и сложных, и отличающихся паролей. Также изменения коснулись всех сотрудников, имеющих доступ к данным держателей карт – Пункты 8.3.1 и 8.3.2. Теперь, независимо от их работы в защищенной сети или удаленно, они должны применять многофакторную аутентификацию.

Другим важным изменением стали требования к Сервис Провайдерам. Они коснулись как компаний в целом, так и напрямую отдельных руководителей этих компаний. Теперь Сервис Провайдеры должны иметь описание полной криптографической архитектуры, что должно нивелировать риски утечек при участии третьих вовлеченных сторон. Также добавлено требование регулярных тестов инфраструктуры на проникновение и создание процессов защиты, отражения, документирования и информирования об атаках, которые могут привести к потере данных.   

Несмотря на сужение периметра вокруг данных и минимизацию хранимой информации, требования к физической безопасности становятся не менее актуальными, и выражаются в комбинированных требованиях контроля доступа в помещения (RFID) с аутентификаторами PKI (Смарт Картами) инфраструктуры открытых ключей. При этом все более приветствуются возможности визуального контроля Смарт Карт в решениях Корпоративных Бэджей (Физический и Цифровой идентификатор сотрудника) и методов контекстной аутентификации, когда в зависимости от местонахождения сотрудника и используемого им устройства предъявляются разные по степени сложности и защищенности методы аутентификации. (Рис. 1).

Рис. 1

Если требования PCI-DSS к использованию шифрования и хранения ключей шифрования отдельно, в железе, уже не является чем-то удивительным, то возможность не разглашать публично взлом данных, которые были зашифрованы (Регламент GDPR) – это важный фактор. На текущий момент только 4% компаний шифруют данные, что открывает большую перспективу по применению методов шифрования данных и управления ключами шифрования в финансовых организациях и корпоративном секторе, особенно, если подходить к этой задаче системно и защищать данные в состоянии покоя, во время транзита, в виртуальных средах, облаках и т.д.

В свете всё большего использования моделей аутсорсинга, облачных и виртуальных технологий, что благотворно влияет на сокращение издержек и расходов, открытым остается вопрос ответственности организации за персональные данные и данные платежных карт. Кому вы доверяете? Кто будет нести ответственность, если ваши данные будут скомпрометированы в Облаке или Арендованном ЦОДе? Ответ – никому. Организации должны ответственно подходить к вопросам защиты информации, и первые шаги, которые помогут решить эти вопросы, начинаются с контроля доступа с помощью автоматизированных систем аутентификации, шифрования данных и управления жизненным циклом ключей шифрования. В совокупности использование этих подходов позволит закрыть львиную долю требований регламентов по безопасности и оградить ваши организации от материальной ответственности и штрафов.