CC BY
0
УДК 004.056
РОЛЬ PCI DSS В ОБЕСПЕЧЕНИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Р.Ф. Файзулин, М.С. Демичев, И.В. Маркевич, А.Р. Оголь, А.С. Бондарев
Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
E-mail: faizulin_rinat@list.ru
Рассматривается понятие стандарта PCI DSS, описываются основные требования, предъявляемые данным стандартом к электронным системам платежей, методы проверки соответствия этим требованиям. Выделяется роль стандарта PCI DSS в обеспечении информационной безопасности.
Ключевые слова: стандарты безопасности платежных систем, PCI DSS, информационная безопасность, электронные системы платежей, требования безопасности.
THE ROLE OF PCI DSS IN INFORMATION SECURITY
R.F. Faizulin, M.S. Demichev, I.V. Markevich, A.R. Ogol, A.S. Bondarev
Reshetnev Siberian State University of Science and Technology 31, Krasnoyarskii rabochii prospekt, Krasnoyarsk, 660037, Russian Federation
E-mail: faizulin_rinat@list.ru
We consider the concept of the PCI DSS standard, describe the main requirements imposed by this standard on electronic payment systems, methods for checking compliance with these requirements. The role of the PCI DSS standard in ensuring information security is highlighted.
Key words: security standards of payment systems, PCI DSS, information security, electronic payment systems, security requirements.
Введение. Операции с электронными платежами еще относительно недавно были интересны узкому кругу бизнесменов, и только последние два десятилетия данная тема стала интересовать и обычных граждан. Причина кроется в повседневном использовании электронных переводов - нажав всего две кнопки, мы можем купить билет на поезд или самолет, оплатить арену квартиры, заказать себе еду или одежду из Интернет-магазина.
Одна из проблем использования систем электронных платежей заключается в большом количестве используемых принципов работы и различных устройств, в которых могут быть реализованы разные технологические и финансовые архитектуры взаимодействия.
В процессе реализации электронных платежей постоянно используется в большом количестве закрытая информация, которая нуждается в защите от несанкционированного доступа и проведения хакерских атак с целью похищения как информации, так и денежных средств в электронном виде. Значит, возникает вопрос о безопасности таких операций.
Стандарт безопасности платежных систем. Он же Payment Card Industry Data Security Standard (PCI DSS) - стандарт защиты информации в индустрии платёжных карт, который разработан международными платежными системы Visa и MasterCard. Главное правило стандарта: если организация хранит и обрабатывает, передает или влияет на безопасность
(Секция «Информационная безопасность»
платежных карт этих пяти платежных систем, то соответствие требованиям PCI DSS для компании является обязательным. [1].
По сути, это целая система мер и требований к платежным системам, которая определяет уровень безопасности конкретного ресурса. Если шлюз не соответствует заложенным параметрам, то он не получит этот сертификат. Поэтому все заинтересованы в успешном прохождении сертификации.
Данный стандарт устанавливает критерии безопасности для систем и подсистем, работающих с платежными картами. Классифицировать участников, заинтересованных в получении сертификата очень просто. Если ресурс работает с номерами банковских карт, кодами CVC/CVV и общей платежной информацией, он должен получить этот сертификат, увеличивая безопасность своей внутренней системы [2].
Требования к безопасности электронных платежных систем. По своей сути PCI DSS представляет собой совокупность детализированных требований по обеспечению безопасности данных о держателях платёжных карт, которые передаются, хранятся и обрабатываются. Данные требования, которых сегодня насчитывается уже порядка 300, можно условно разделить на 12 основных групп [3]:
1. Защищенность персональных данных;
2. Защищенность внутренней вычислительной сети;
3. Антивирусная защита;
4. Специфика конфигурации информационной структуры;
5. Защита данных для передачи;
6. Системы аутентификации;
7. Распределение прав доступа;
8. Ведение протоколов;
9. Физическая безопасность систем;
10. Поддержка и корректировка информационных систем;
11. Контроль уровня безопасности;
12. Вариативность инструментов информационной безопасности.
Исходя из требований, видно, что проверяется на только программное обеспечение конкретного ресурса, но и используемая им техника. При проверке присутствуют уполномоченный аудитор, который обладает статусом QSA (Qualified Security Assessor, этот статут подтверждается Советом PCI SSC). Он имеет право общаться с сотрудником платежного шлюза, изучать настройки компонентов системы, проверять работоспособность платежной системы.
Программный код компонентов проверяется выборочно, чтобы выделить какую-либо серьезную уязвимость или проблему в случае, если платежный шлюз захочет ее скрыть от проверки. Больше всего внимания уделяется ядру системы, которое обрабатывает данные платежных карт.
Принятие соответствующих мер по обеспечению соответствия требованиям стандарта подразумевает комплексный подход к обеспечению информационной безопасности данных платёжных карт [4].
Роль PCI DSS в обеспечении информационной безопасности. Стандарт безопасности данных индустрии платежных карт разработан в целях повышения уровня безопасности данных о держателях карт и содействия широкому внедрению унифицированных мер защиты данных по всему миру.
PCI DSS содержит базовые технические и операционные требования, которые разработаны для защиты данных платежных карт. Данный стандарт применяется для всех организаций, вовлеченных в обработку платежных карт.
С развитием услуг, предоставляемых провайдерами, увеличивались и зоны ответственности, которые клиенты могли передать на аутсорсинг в рамках стандарта PCI
DSS. На данный момент это физическая безопасность используемого оборудования, администрирование и обеспечение безопасности сетевых устройств (межсетевые экраны, системы обнаружения и предотвращения вторжений (IPS/IDS), защита от DDOS и т.д.), безопасность виртуальной инфраструктуры и администрирование операционных систем, приложений и баз данных. В данном случае необходимо разграничить ответственность по выполнению требований PCI DSS между организацией и провайдером, документально зафиксировав это разграничение.
Для соблюдения требований регуляторов необходим комплекс мер, направленных на повышение защищенности информационной среды, оценка рисков и угроз. Одной из самых распространенных «точек входа» для злоумышленников является уязвимое веб-приложение, взлом которого может привести к утечке критичной информации и данных (в том числе персональных данных или платежной информации).
Вопросы безопасности и защищенности персональных данных сегодня наиболее обострены. И далеко не последнюю и очень важную роль в этом играют такие документы, как GDPR, PCI DSS, Федеральный закон № 152-ФЗ «О персональных данных» [5].
Библиографические ссылки
1. Стандарт PCI DSS - российские реалии внедрения [Электронный ресурс]. URL: https://gardatech.ru/baza-znaniy/podcasts/standart-pci-dss-rossiyskie-realii-vnedreniya/ (дата обращения 25.03.2022);
2. Что такое PCI DSS? Для чего нужна платежная информационная безопасность [Электронный ресурс]. URL: https://yurlitsa.ru/chto-takoe-pci-dss-dlya-chego-nuzhna-platezhnaya-informatsionnaya-bezopasnost/#chto-takoe-standart-bezopasnosti-platezhnykh-sistem-pci-ssd-3 (дата обращения 26.03.2022);
3. Что такое PCI DSS и как происходит проверка на соответствие стандарту? [Электронный ресурс]. URL: https://habr.com/ru/company/payonline/blog/303330/ (дата обращения 25.03.2022);
4. Хабр. Взгляд на аудит сквозь призму стандарта PCI DSS [Электронный ресурс]. URL: https://habr.com/ru/post/114558/ (дата обращения 26.03.2022);
5. Не PCI мой DSS: насколько страшны требования регуляторов [Электронный ресурс]. URL: https://defcon.ru/legislation/8776/ (дата обращения 27.03.2022);
© Файзулин Р.Ф., Демичев М.С., Маркевич И.В., Оголь А.Р., Бондарев А.С., 2022
