NBJ: Игра стоит свеч

Директор карточного процессинга АКБ «РУССЛАВБАНК» Александр Богдасаров дал комментарии в статье NBJ о практике применения международного стандарта PCI DSS (Payment Card Industry Data Security Standard) в банках и платежных системах.

Национальный банковский журнал №7/2014

ИГРА СТОИТ СВЕЧ

Автор: Анна Кислицына

Многие эксперты в области банковской информационной безопасности отмечают тенденцию последних лет, связанную с ужесточением законодательных требований как чисто технического, так и организационного характера. В 2012 году вышло Положение Центрального банка "№" 382-П, обязывающее каждую кредитную организацию иметь службу информационной безопасности, появилась и масса других предписаний: по мониторингу инцидентов, разработке внутренних регламентов, установке антивирусных программ, ведению отчетности, консультированию клиентов по вопросам информационной безопасности. Кому из банков по плечу выполнение всех обязательных и рекомендуемых требований?

ПРИВЫЧКА - ВТОРАЯ НАТУРА

Доскональное следование всем регуляторным и законодательным нормам может повлечь за собой серьезные финансовые последствия для небольших кредитных организаций: расходы на приобретение специализированных технических средств, оплату работы нанятого персонала при определенном стечении обстоятельств могут превысить прибыль финорганизации. Можно ли избежать этого? Существуют ли доступные решения и недорогие проекты, способные обеспечить информационную безопасность в банках?

[...]

Рассказывая о доступных решениях для информационной безопасности, директор карточного процессинга РУССЛАВБАНКа Александр Богдасаров упоминает стандарт PCI DSS. "Как и в любом деле, к прохождению процедуры PCI DSS необходим дифференцированный подход. К примеру, если банк проводит не более 300 тысяч транзакций в год и не подключен напрямую к международным платежным системам (работает через сторонний процессинг), в соответствии с требованиями PCI DSS, ему достаточно периодически самостоятельно проводить оценку путем заполнения так называемого листа самооценки (Self Assessment Questionnaire, SAQ). В этом случае затраты на сертификацию крайне малы", - подчеркивает специалист.

Международный стандарт PCI DSS (Payment Card Industry Data Security Standard) призван уравновешивать интересы банков и их клиентов. Разработчиками PCI DSS - перечня требований к обеспечению безопасности платежей - в свое время выступили компании American Express, Discover, JCB, MasterCard и Visa. Продукт появился в России и странах СНГ в 2006 году.

Стандарт представляет собой список требований (как общего характера, так и технологических) к информационной безопасности данных пластиковых карт. Они объединены в 12 разделов, соблюдение требований по каждому из них проверяется контрольной картой, она же позволяет переходить от одной части стандарта к другой. С технической точки зрения PCI DSS представлен серверами и сетевыми устройствами, которые обслуживаются специально обученными сотрудниками. Компания раз в год должна подтверждать свое соответствие стандарту.

[...]

С коллегой согласен Александр Богдасаров (РУССЛАВБАНК): "Прохождение процедуры соответствия международным стандартам PCI DSS должно стать правилом хорошего тона для любых организаций и финансовых институтов, хранящих, передающих или обрабатывающих данные платежных карт. При этом важно не только первичное прохождение этой процедуры, но и периодическое подтверждение соответствия, что позволяет своевременно выявлять и устранять новые угрозы и уязвимости, эффективно предотвращать утечки информации".

МНОГО ПРОБЛЕМ, НО ЕЩЕ БОЛЬШЕ ПЛЮСОВ

Последняя версия стандарта PCI DSS (3.0) появилась в ноябре 2013 года и уже в феврале 2014 года была переведена на русский язык. Обновленные правила вступят в силу 1 января 2015 года.

Напомним, что первый официальный перевод PCI DSS на русский язык появился летом 2013 года в версии стандарта 2.0. Продукт можно считать полностью адаптированным для применения в России. Отмечают ли банки особенности и сложности процедуры внедрения стандарта в зависимости от ИТ-архитектуры банка или от других, не менее важных особенностей кредитной организации?

Одновременно с появлением стандарта PCI DSS в России вышел закон "№" 152-ФЗ "О персональных данных", дающий мегарегулятору право осуществлять проверки в банках на предмет соблюдения требований по защите персональной информации. Эксперты склонны считать, что международный стандарт и нормативный акт не дублируют друг друга.

[...]

"К новым возможностям PCI DSS в первую очередь можно отнести расширение бизнеса банка в сфере безналичных платежей, так как сегодня международные платежные системы относятся к организациям, которые не используют стандарт PCI DSS, с большой осторожностью, - отмечает Александр Богдасаров (РУССЛАВБАНК). - Также наличие сертификата PCI DSS - весьма весомая имиджевая составляющая, что позволяет, например, выходить на новые, ранее недоступные рынки".

По данным исследования "Лаборатории Касперского" "Информационная безопасность бизнеса" за 2013 год, главным приоритетом российских ИТ-специалистов остается защита данных, этим озадачено более 40% компаний. К счастью, доступные решения, способные обеспечить информационную безопасность кредитных организаций, существуют.