Будущее PCI DSS под вопросом?

На портале PCI Security за последнюю неделю было опубликовано пару интересных новостей, которые хорошо отражают процессы, происходящие на Западе по отношению к стандарту PCI DSS.

Ситуация очень похожа на то, что у нас происходит с персданными. Есть закон, есть технические требования, есть наказания. Но, во-первых, инцидентов с нанесением реального ущерба субъектам ПДн практически нет (раз-два и обчелся), а во-вторых, сокращения числа утечек ПДн пока не заметно. Базы (а именно это было толчком к созданию ФЗ-152) как продавали так и продают. К PCI отношение аналогичное. Мошенничества как были, так и остались. Так зачем нужен стандарт? Да еще и обязательный, за нарушение которого есть вполне конкретное наказание.

Именно эти вопросы задавались на заседании комиссии Сената США. Многие эксперты справедливо замечают, что соответствие ради соответствия никому не нужно. Тем более, что повторная оценка соответствия проходит только через несколько кварталов, а злоумышленники действуют все время между проверками. Налицо конфликт статических требований стандарта и динамических действий хакеров. Наличие же собственных специалистов по безопасности в небольших компаниях — роскошь, которую они не могут себе позволить. А таких компаний 99%. Если сюда приплюсовать первый судебный иск к аудитору (QSA) со стороны сертифицированной им процессинговой компании, то картина и вовсе выглядит нерадужно.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Dmitry Evteev

    Алексей, я с Вами не соглашусь. Сравнивать закон о ПДн (высокоуровневый документ) и требования PCI DSS (технические требования) не совсем корректно. А что же касается иска по QSA, то по моему личному убеждению, инцидент имел место по причине некачественной проверки со стороны аудитора.

    Ответить
  2. Анонимный

    Будем надеяться что первый блин. На мой взгляд инцидентов недостаточно для поколебания как у них так и у нас… У нас начинаю замечать спад интереса к проблемам ПДн кто то ждет, кто то вообще ничего не понимает и махнул рукой, кто то продолжает витать в заблуждениях…

    Ответить
  3. Анонимный

    По ПД скажу: по личному наблюдению после 2006 года резко падает количество подобной информации. И насколько я знаю, ничего свежее начала 2008 года нету. И то это якобы прописка по Москве. Уверен, что если не принятие закона повлияло, то как минимум было распоряжение и была проведена работа

    Ответить
  4. Максим Эмм

    Имхо очень спорные аналогии..

    из той же серии — зачем вводить штрафы за нарушения ПДД — если все равно нарушали, нарушают и будут нарушать. 🙂

    PCI DSS и ФЗ 152 (как и другие инициативы регуляторов) — это единственно возможные способы заставить компании раскошелится на ИБ:
    1. превентивно, не дожидаясь громких скандалов ( о потерях особенно у нас в РФ речь не идет, если говорить о ПДн)
    2. вообще хоть как то. Ибо в сказки о ROSI уже никто не верит 🙂

    Ответить
  5. Алексей Лукацкий

    Dmitry: Проблема в том, что когда я обращаюсь к аудитору за услугами, я надеюсь, что он качественно проведет свои работы. А тут такая засада. Доверие падает. Рынок страдает.

    Maxus: При нарушении ПДД есть четкое видение ущерба либо в виде жизни и здоровья, либо в виде материального ущерба авто. В случае с ПДн примеров реального ущерба не было. Наказывают на за невыполнение закона. Почувствуйте разницу.

    Ответить
  6. Максим Эмм

    ну это вопрос спорный….

    какое четкое видение ущерба если я развернулся через двойную сплошную днем на ровной дороге где никого не было на 2км в обе стороны?

    а по поводу ожиданий — у аудиторов есть такая вещь как репутация — обращайтесь к уважаемым аудитором — не будет вопросов с качеством.
    просто не все ожидают качества на самом деле. некоторые ожидают дешево и быстро получить сертификат соответствия.

    Ответить
  7. Анонимный

    Извините прокомментирую…

    какое четкое видение ущерба если я
    развернулся через двойную сплошную днем на ровной дороге где никого не было на 2км в обе стороны?

    — как говорится "это Вы прокурору расскажете…" не дай бог конечно. Вообще где то слышал что восприятие информации у человека очень забавное. Например садят за стол друг против друга двух испытуемых. Кладут на стол бумажный красный треугольник немаленький. Ведут получасовую беседу. После этого спрашивают что лежало на столе. Так вот один видел синий квадратик а другой желтый кружочек…

    а по поводу ожиданий — у аудиторов есть такая вещь как репутация — обращайтесь к уважаемым аудитором — не будет вопросов с качеством.
    просто не все ожидают качества на самом деле. некоторые ожидают дешево и быстро получить сертификат соответствия.

    За сертификатом соответствия лучше обращаться в уважаемые федеральные органы по сертификации и в уважаемые аккредитованные испытательные лаборатории…

    Ответить
  8. Анонимный

    Этот комментарий был удален автором.

    Ответить
  9. Алексей Лукацкий

    Maxus: Никто не спорит, что бывают нюансы при оформлении штрафов за нарушение правил ПДД. Но и отрицать, что ущерб не виден тоже очень сложно. А вот с ПДн ситуация совершенно иная. Ущерба не видно. Совсем. И он точно не сопоставим со стоимостью защитных мер.

    Ответить
  10. Анонимный

    я, например, не вижу ущерба в случае "разворот через две сплошные на ровной дороге при хорошей видимости".

    Но вижу конкретный ущерб в случае, когда по "утёкшей" копии паспорта был получен кредит.

    Ответить
  11. Алексей Лукацкий

    Анонимному: Были РЕАЛЬНЫЕ примеры нанесения ущерба по причине утечки паспортных данных в электронном виде? Примеры, по которым субъект ПДн обращался в суд?

    Ответить
  12. Sergey Gordeychik

    >Были РЕАЛЬНЫЕ примеры нанесения ущерба

    Были. Были проверки по обращению субъектов и замечания и штрафы.

    http://sgordey.blogspot.com/2009/05/compliance.html

    И хорошо, что регуляторы пока еще не используют крайние методы воздействия. Да ведь и платежные системы не сразу начали применять наиболее резкие санкции.
    Но думаю, что несколько показательных порок но 152-ФЗ в 2010 нас ждут. Чтобы такскать сформировать правоприменительную практику.

    ЗЫ.

    >есть четкое видение ущерба

    Безопасность должна быть проактивной :))))

    Ответить
  13. Алексей Лукацкий

    Сергей, ты смешиваешь понятия 😉 Я спрашивал про реальный ущерб для субъекта ПДн. Есть примеры реального ущерба для него?

    Пока все проверки РКН заканчиваются тем, что обнаруживается нарушение ФЗ. Т.е. оператора привлекают не за то, что субъект понес реальный ущерб, а за то, что оператор нарушил некоторые формализованные правила.

    В случае с ПДД ущерб явный — травмы, смерть, поломка авто и т.д. А с ПДн реального ущерба не видно. Какой ущерб от того, что мои налоговые отчисления попали на Горбушку или мой домашний телефон засветился в Интернете? Для меня никакого.

    С PCI другая песня. Там тоже основная проблема не в том, что клиенты теряют деньги, а в том, что Visa не хочет больше их возмещать 😉 Она и ввела систему штрафов за нарушение правил ИБ. Не соблюдаешь — плати. А Visa потом из этих денег станет компенсировать свои убытки 😉 Ведь на реальной безопасности клиента это никак не сказывается. В договорах по прежнему есть фраза, что любые действия по карте считаются совершенными от имени клиента. Даже если данные владельца карты были украдены у банка ;-(

    Ответить
  14. Sergey Gordeychik

    >Я спрашивал про реальный
    >ущерб для субъекта

    Алексей, если вы предложите достоверную методику отделения мошенничества, в ходе подготовки которого использовались нарушения 152-ФЗ, от всех остальных, то, я думаю — это будет великолепным доказательством ущерба.

    Например это 152-ФЗ или нет?

    http://auto.newsru.com/article/01Aug2008/lge-kvitancii

    http://realty.newsru.com/article/16Sep2008/fraud

    ЗЫ.

    При чем здесь собственно субъект?
    Он, по большей части, не имеет возможности управлять рисками, связанных с принудительным распостранением ПД. Также как и с принудительным переходом на платежные карты.
    Теперь у него появляется возможность обратной связи с оператором, что, наверное неплохо.

    Ответить
  15. Алексей Лукацкий

    Сергей, для данных случаев, как ты правильно заметил, есть статья по мошенничеству. И в рамках нее можно привлекать и т.д.

    Но как выполнение требований ФЗ/ПП/четверокнижия повлияет на изменение ситуации в лучшую сторону? Данный вид мошенничества исчезнет? Нет. Ведь не БКИ и не ЖЭК и не поликлиника рассылают эти лже-квитанции. А наказывают-то их. И не за ущерб, нанесенный субъекту (а именно это ставилось целью создания ФЗ-152), а за нарушение положений ФЗ/ПП. В этом и есть ключевая проблема данного закона. Это примерно как наказывать продавца столового ножа за то, что с его помощью совершенно убийство. Он всего лишь промежуточное звено.

    Я не говорю, что он не нужен. Просто он нужен в немного ином виде, как и подзаконные акты и методики надзорных проверок и т.д.

    Ответить
  16. Vadim

    Не такая уж и роскошь ИБ-шники в малых конторах… У нас компания — чуть больше 20 человек, но свой специалист есть. И DLP установлена — недорогая, правда, но всё же.

    Ответить