|
Обсуждению, в основном, подлежат два вопроса:
- Является ли адекватным поведение МПС (Visa, в ответ на сообщение, удалила Heartland из списка PCI Compliant сервис-провайдеров), ведь если сегодня ты присутствуешь в «белых» списках PCI, а завтра тебя оттуда удаляют, то какова цена этим спискам, то есть статусу PCI Compliant, а значит и самому сертификату.
- Гарантирует ли стандарт PCI DSS защиту от инцидентов, связанных с компрометацией данных платежных карт. Иначе говоря, вопрос ставится таким же образом: какова цена этому сертификату.
В ответ на первый вопрос хочется обратиться непосредственно к самому стандарту, который сопоставляет уровню сервис-провайдера его обязательства по прохождению сертификации. Среди прочего там перечислены «все сервис-провайдеры, которые были скомпрометированы». То есть, Visa поступила в строгом соответствии со стандартом, и пострадавшая сторона не сможет считаться PCI Compliant, пока не приведет свою информационную систему в соответствие, устранив бреши в безопасности.
Второй вопрос я намеренно оставил в такой формулировке. Позволю себе процитировать некоторых «экспертов», высказавших свое мнение по поводу обсуждаемого вопроса: «либо сертификация была проведена не должным образом, либо стандарт не гарантирует защиты». Вообще, само понятие «стандарта, гарантирующего защиту» звучит довольно странно и напоминает известную шутку про вероятность встретить на Невском проспекте НЛО — ровно 50% («либо встретите, либо нет»). К сожалению, кроме шуток, часто приходится наблюдать непонимание разницы между терминами «соответствие» (compliance) и «проверка соответствия» (validation). Вместе с тем очевидно, что первое означает континуальный процесс, который должен поддерживаться в течение времени, а стандарт PCI DSS лишь предъявляет ряд требований к этому процессу. QSA-аудитор же может только зафиксировать факт выполнения этих требований в отдельных момент времени, т.е. выполнить проверку соответствия. Если сразу после того, как за аудитором захлопнулась дверь, проверяемая организация отключила антивирусные средства или убрала систему обнаружения вторжений, повышается в таком случае риск компрометации? Очевидно, что да. Является ли это упущением стандарта PCI DSS и говорит ли о его непригодности? Очевидно, что нет.
Поэтому когда мы говорим о том, какова цена сертификату и коррелирует ли его наличие с величиной риска, довольно глупо обращаться за аргументами к «истории неудач». Вместо этого не следует забывать, что все зависит главным образом от того, насколько грамотно выполнены требования стандарта и как хорошо налажен процесс контроля и управления безопасностью, диктуемый этим стандартом. | 
Здесь более уместна аналогия с инспектором гостехосмотра - Вы можете приехать, пройти техосмотр, получить талон, действующий в течение одного года, но выехав за пределы станции гостехосмотра - затонировать передние стекла "в ноль" и расторгнуть договор ОСАГО. После этого Вы имеете действующий талон техосмотра? Имеете. Вы соответствуете требованиям законодательства? Не соответствуете.
Также и здесь - ни один аудитор не даст гарантии того, что как только за ним закрылась дверь, не были отключены средства шифрования данных и системы мониторинга сети. Сертификат показывает то, что в тот момент, когда аудитор был на объекте, компания соответствовала требованиям PCI DSS. Также, как талон техосмотра показывает то, что когда автомобиль был на станции гостехосмотра, он соответствовам всем предъявляемым требованиям.
Поповоду ОСАГО и тонировки: наличие талона ТО не спасет автовладельца при проверке сотрудниками ДПС от административного наказания при отсутствии страховки и несоответствующей тонировке.
Опять же - аналогия с инспектором ДПС - прямая. Международная платежная система вправе в любой момент самостоятельно проверить выполнение компанией требований стандарта, не смотря на наличие сертификата, выданного QSA. Также как инспектор ДПС вправе проверить наличие полиса ОСАГО, несмотря на наличие талона ТО.
Некоторую защиту от того, что "все выключат" после ухода аудитора даёт необходимость анализа системы менеджмента информационной безопасности при проведении аудита. Изучение записей по процедурам покажет то, как они выполнялись в промежутке между аудитами. Сфальсифицировать записи, конечно же можно, но это весьма трудоемкий процесс, не уступающий по затратам корректному выполнению процедур безопасности.
Что касается применения стандарта - этот вопрос можно обсуждать, предлагаю перенести обсуждение в форум.
Аудиторы это сторонняя компания не имеющая отношения к бизнесу.
В ходе аудита банк вынужден раскрыть данной сторонней компании конфиденциальные данные особой важности, о структуре сети, о бизнес процессах , о конкретных личностях и их контактах наконец ответственных за безопасность. Считаю , риск успешной атаки на банк после проверки возрастает многократно.
Возникает старый вопрос, кто проверяет проверяющих? как они хранят и используют полученные в ходе аудита данные ?
В связи с этим , считаю, - контроль аудиторы должны осуществлять просто попыткой взлома.
Это должны быть компании которым банки не дают никакой информации официально. Но , обязаны заключить контракт на работу. Если взлом удачен ,
аудитор раскрывает методы с помощью которых это стало доступным.
Банк деньги платит на постоянной разумной основе плюс бонус аудитору , коли смогли банк взломать.
Справедливо помоему, вы так не считаете?
Здесь мы говорим про QSA-аудит. В этом случае нет смысла обсуждать как его необходимость, так и тем более его процедуру - здесь все и так ясно (плюс не забываем про страховку, которая есть у QSA). Это просто данность. Если банк не хочет его проводить, то готовьте 50 тыс. долл. в квартал (по 25 Визе и МК) и ждите штрафа в 500 тыс в случае инцидента плюс возможного отключения от МПС.
Если же Вы говорите про обычный аудит защищенности (пентесты или внутренний активный аудит), который является делом сугубо добровольным, то и здесь все не совсем так.
> Считаю , риск успешной атаки на банк после проверки возрастает многократно.
Я категорически с этим не согласен. На основании чего сделан такой вывод? После аудита риск успешной атаки снижается на порядок или банк предпочитает быть страусом и просто не знать о своих недостатках :) ? Таких и правда много :)
Вообще на рынке аудита ситуация такова, что "чужие здесь не ходят". Вопрос доверия к аудитору не стоит - аудитор обладает безупречной РЕПУТАЦИЕЙ, которой очень дорожит.
Кроме того, аудитор "на выходе" выдает заказчику детальный отчет с перечнем уязвимостей - заказчик их закрыл и шансов проникнуть через них больше нет.
Что касается второй части Вашей реплики:
>Это должны быть компании которым банки не дают никакой информации >официально. Но , обязаны заключить контракт на работу....
То примерно так это и происходит с разными вариацяими. То что Вы описали называется режим работы black box (черный ящик). Тут есть много тонкостей и деталей, но в целом примерно так как Вы написали.
Рекомендую почитать разделы на нашем сайте про пентесты:
http://dsec.ru/consult/audit/test/
http://dsec.ru/consult/audit-applications/
а также заглянуть на http://www.dsecrg.ru