Сейчас, когда международная общественность ополчилась против российских банков, а ряд международных платёжных систем приостанавливают работу карт, выпущенных в России, встал важный вопрос о необходимости соответствия требованиям стандарта PCI DSS. Не достаточно ли просто соблюдения требований БР, которые предъявляются ко всем банковским информационным системам? В чём преимущества PCI DSS, чтобы российским банкам нужно было соблюдать его требования? Можно назвать целых три причины в пользу соблюдения требований PCI DSS, и в данной статье мы постараемся разобраться с ними.
Первое: разные цели. Если сравнить требования БР и PCI DSS, то можно заметить, что цели у них разные. Требования БР направлены на обеспечение стабильного функционирования банковской системы России, а PCI DSS — разработан МПС для защиты конкретно от мошенничества с платёжными картами в организациях различных отраслей. Поэтому и подходы у этих стандартов разные. Требования БР направлены на построение риск-ориентированной защиты банковской системы страны от широкого спектра атак на информационные системы, в то время как требования PCI DSS основаны на оценке рисков, специфичных для индустрии платёжных карт, в том числе с учётом расследования реальных инцидентов.
В своё время МПС столкнулись со всё более увеличивающимися объёмами мошеннических транзакций, которые переросли в целую криминальную индустрию с оборотами в миллиарды долларов в год. PCI DSS возник для решения задач, связанных со снижением ущерба от мошенничества. Требования БР — это результат в большей части теоретической работы по систематизации защитных мер.
То, что требования по безопасности БР и PCI Council становятся более похожими друг на друга, является следствием того, что платёжные технологии с использованием платёжных карт и страновые финансовые системы имеют похожие карты рисков. Кроме того, имеет место повышение уровня зрелости отрасли информационной безопасности в целом, что предполагает более стандартизованные подходы в построении защиты информационных систем. Различные разрозненные «лучшие практики» трансформировались в систематизированные и достаточно стандартизованные архитектуры, структуры, технологии и процессы безопасности.
Второе: теория и практика. Требования БР — законодательные, а PCI DSS — практический стандарт. Банк России разработал свои требования в том виде, в котором ему было удобно, и сейчас они являются неотъемлемой частью законодательного регулирования. В то же время PCI DSS разработан «снизу» — он стал результатом договорённости нескольких платёжных систем по реализации ими мер защиты от мошенничества.
МПС работали в большом количестве стран мира, в том числе в странах, в которых государства никак не регулировали мероприятия по части информационной безопасности либо не уделяли внимания регулированию в области безопасности платёжных карт. Всё большее количество инцидентов и их масштабы начали подрывать доверие к использованию платёжных карт как средства платежа в целом. Каждая платёжная система начала разрабатывать различные требования и подходы к обеспечению безопасности данных платёжных карт. Требования разрабатывались в основном реактивно по результатам расследования различных инцидентов. Вначале требования не носили системного характера и отличались у каждой МПС. Проверку соответствия этим требованиям проводили сами платёжные системы. Компании, работающие с несколькими МПС, должны были проходить аудиты на соответствие у каждой из них по отдельности по разным требованиям, которые при этом могли противоречить друг другу.
Из-за этого возник запрос от участников платёжных систем на систематизацию и гармонизацию требований, а также сокращение количества аудитов. При этом МПС столкнулись с тем, что у них не было необходимых ресурсов для проведения аудитов безопасности. Таким образом, ведущие МПС решили объединиться и создать организацию, которая бы занималась вопросами безопасности в индустрии платёжных карт в интересах МПС. Был создан PCI SSC, который и разработал PCI DSS, а также ряд других стандартов в области безопасности платёжных карт. Были разработаны процедуры аудита, а также процедуры аккредитации аудиторов и контроля качества их работы. При разработке требований PCI DSS учитываются мнения всех заинтересованных сторон, а не только МПС. Любая организация может принять участие в обсуждении новых стандартов PCI DSS или новых технологий, направленных на безопасность. Именно поэтому PCI DSS основан на международном опыте.
Третье: международные системы. Следует отметить, что международное взаимодействие платёжных систем остаётся: в России продолжает работать китайская система UnionPay. Важно при таком международном сотрудничестве обеспечить высокий уровень безопасности платёжных транзакций и защиту от мошенничества. Конечно, это можно сделать с помощью двустороннего договора, однако для защиты российской платёжной системы будет лучше, если её защита будет выполняться по единым и понятным для всех правилам. Собственно, в своё время к PCI SSC присоединились UnionPay и НСПК, которые теперь требуют соответствия стандарту PCI DSS от участников своих платёжных систем.
В России требования безопасности определяет НСПК (как оператор платёжной системы «МИР»). Аналогично упомянутым ранее МПС, НСПК не является регулятором для российских банков. Но НСПК определяет требования ИБ в рамках договорных отношений с участниками платёжной системы.
Организации, работающие с картами «МИР», могут являться и нерезидентами РФ, и в этом случае на них не могут распространяться требования российских регуляторов. Но НСПК в рамках договорных требований может требовать от них соответствия PCI DSS в рамках общепринятых подходов и механизмов, имеющихся в индустрии платёжных карт. Если НСПК откажется от PCI DSS, то нужно будет разрабатывать собственный стандарт безопасности, а это затруднит распространение «МИР» в других странах — кому захочется выполнять специфические требования по безопасности.
К тому же кризис — не навсегда. Остальные МПС, возможно, вернутся в той или иной мере.
Если подытожить всё вышесказанное, то можно сделать вывод, что требования стандарта PCI DSS необходимо соблюдать — этого требуют НСПК и UnionPay. Если же говорить о подходах к аккредитации аудиторов по стандарту PCI DSS, то здесь возможны следующие варианты.