Защита персональных данных и требования PCI DSS

Автор: Максим Эмм, директор департамента аудита компании «Информзащита».

Мне  бы хотелось в этой статье осветить два вопроса, которые чаще всего волнуют  руководителей компаний:

1. Какие существуют способы оптимизации затрат на соответствие стандарту PCI и закону о защите ПД?
   
   Самый основной способ, подходящий для обоих рассматриваемых набора требований — минимизация обработки и хранения защищаемых данных. Необходимо посмотреть на бизнес-процессы и системы их автоматизации под несколько другим углом, задавая себе примерно следующие вопросы:
   
   -  А на самом ли деле нужны эти данные в этой системе?
   
   -  Можно ли их чем-нибудь заменить?
   
   Довольно часто, например, в качестве идентификатора клиента используется номер его пластиковой карты, а ведь можно использовать любую уникальную последовательность цифр.
   
   Этот способ является наиболее предпочтительным, поскольку позволяет вообще уйти от необходимости выполнять требования регулятора по технической защите данных ввиду их отсутствия.
   
2. Второй по эффективности оптимизации затрат способ, подходящий в обоих случаях — изоляция систем обработки персональных данных и/или данных платежных карт данных от остальных информационных систем банка с использованием межсетевых экранов, терминальных серверов и применение защитных мер только на этих изолированных системах. Такой подход не снижает сами требования, но ограничивает область их применения.
   
   
3. Еще один способ, разделить базу данных этой системы на две части. В одну положить ФИО, а в другую все остальное и связать их через какой-нибудь уникальный идентификатор. В этом случае можно изолировать каждую из подсистем и понизить класс каждой с К1 или К2 до К3 или даже К4, что существенно снизит затраты на обеспечение безопасности. Правда такая доработка информационной системы может быть сама по себе довольно затратной, но тут нужно в каждом случае считать, что сделать проще.
   
4. Ну и последний (в рамках данного материала) способ — передать вопросы создания систем защиты под PCI DSS и/или пересданные опытному консультанту — это позволит избежать неизбежных дополнительных затрат на реализацию «методом собственных проб и ошибок» и значительно сократить сроки проекта.

Что же касается рекомендованного Банком России стандарта по ИБ для банков, то его реализация на самом деле достаточно сильно пересекается с выполнением требований PCI DSS, похожий набор процессов управления информационной безопасность, частично совпадающий набор технических требований по защите. С нетерпением будем ждать развития той инициативы.

Что общего между требованиями  PCI DSS  и требованиями по защите персональных данных?

2010 год нам всем запомнится реализацией нескольких крупных инициатив в части защиты данных. Во-первых, к 1 январю 2011 года должны были выполнены все требования законодательства о защите персональных данных в РФ, а во-вторых, (последний срок - сентябрь 2010 года) должны быть выполнены все требования PCI DSS.

В первую очередь и то и другое нацелено на снижение рисков информационной безопасности, реализация которых наносит ущерб какой-то третьей стороне. В случае PCI DSS ущерб может быть нанесен банкам, выпустившим пластиковые карты и их клиентам, а в случае закона о защите персданных — непосредственно населению.

Во вторую очередь это обязательность выполнения. Нельзя (во всяком случае, долго) обрабатывать данные платежных карт или персональные данные и не думать об их защите согласно опубликованному стандарту, закону и его подзаконными актами, в отличие, например от стандарта Банка России по обеспечению информационной безопасности банковской отрасли, который до сих пор для коммерческих банков носит чисто рекомендательный характер. Но тут нужно учитывать реалии — регуляторы не могут просто взять и начать всех штрафовать с определенной даты — негативные последствия от этого могут превысить положительный эффект от повышения уровня защищенности данных. На мой взгляд, регуляторы будут ужесточать свои требования неравномерно и постепенно.

В третьих, между требованиями индустрии платежных карт и требованиями по защите персональных данных похож подход к классификации информационных систем по уровню риска. Для персональных данных риск увеличивается, если в системе происходит обработка более «чувствительных» данных (категории от 1 до 4) и в большем объеме (большее 100000, больше 1000 и меньше 1000) — и информационным системам в зависимости от этого присваиваются классы (от К1 до К4). Для стандарта PCI DSS принцип тот же — платежные системы разделяют информационные системы торговых предприятий, которые принимают пластиковые карты к оплате и информационные системы поставщиков услуг, которые помогают успешно провести транзакцию по оплате (туда входят и сами банки). Для каждой из видов информационных систем риск определяется в зависимости от количества транзакций в год, через нее прошедших, например для в VISA, торговые предприятия делятся на те, у кого транзакций по картам меньше 20000 в год, от 20000 до одного миллиона  и тех, кто свыше шести миллионов, им присваиваются различные уровни от 1 до 4.

На этом сходство и заканчивается, для PCI DSS при увеличении риска усиливаются требования к глубине контроля выполнения требований, например, с какого-то момента нужно привлекать внешнего аудитора для оценки выполнения требований ежегодно, и при этом сами требования по защите для всех одинаковы. Для персональных данных при увеличении величины риска сами требования по их защите ужесточаются, а требований по глубине их контроля вообще еще не сформулировано, в настоящий момент только разрабатывается методика проведения контрольных проверок.

Еще одним существенным различием является способ контроля выполнения требований регулятором:

– для PCI DSS организован Совет, включающий в себя членов всех 5 платежных систем, признавших стандарт, который организует обучение и сертификацию аудиторов, которые потом проводят ежегодные проверки и консультируют по вопросам выполнения требований.

– для персональных данных назначены 3 регулирующих органа — Роскомнадзор, ФСТЭК и ФСБ, каждый из которых отвечает за контроль выполнения «свой» части требований.

Также различаются области применения требований PCI DSS и закона о защите пересданных:

– Требования PCI DSS нацелены на защиту в первую очередь номера карты (PAN) и имени с фамилией держателя карты (если они хранятся вместе с номером карты), содержимого магнитной полосы карты (TRACK2) и другой сугубо технической информации, необходимой для проведения транзакций.

–Требования по защите персональных данных направлены в основном на бэк-офисные системы как для основной АБС так и для выпуска карт и обслуживания клиентов, так как именно в них хранятся персональные данные клиентов банка. Только в небольшой части из них есть данные платежных карт, и то к авторизации платежей отношение не имеющие. При этом основными данными подлежащими защите являются ФИО, паспортные данные, адреса клиентов банка, которая собирается при заключении договора на обслуживание.