12.6.09

Будущее PCI DSS под вопросом?

На портале PCI Security за последнюю неделю было опубликовано пару интересных новостей, которые хорошо отражают процессы, происходящие на Западе по отношению к стандарту PCI DSS.

Ситуация очень похожа на то, что у нас происходит с персданными. Есть закон, есть технические требования, есть наказания. Но, во-первых, инцидентов с нанесением реального ущерба субъектам ПДн практически нет (раз-два и обчелся), а во-вторых, сокращения числа утечек ПДн пока не заметно. Базы (а именно это было толчком к созданию ФЗ-152) как продавали так и продают. К PCI отношение аналогичное. Мошенничества как были, так и остались. Так зачем нужен стандарт? Да еще и обязательный, за нарушение которого есть вполне конкретное наказание.

Именно эти вопросы задавались на заседании комиссии Сената США. Многие эксперты справедливо замечают, что соответствие ради соответствия никому не нужно. Тем более, что повторная оценка соответствия проходит только через несколько кварталов, а злоумышленники действуют все время между проверками. Налицо конфликт статических требований стандарта и динамических действий хакеров. Наличие же собственных специалистов по безопасности в небольших компаниях - роскошь, которую они не могут себе позволить. А таких компаний 99%. Если сюда приплюсовать первый судебный иск к аудитору (QSA) со стороны сертифицированной им процессинговой компании, то картина и вовсе выглядит нерадужно.

16 коммент.:

Dmitry Evteev комментирует...

Алексей, я с Вами не соглашусь. Сравнивать закон о ПДн (высокоуровневый документ) и требования PCI DSS (технические требования) не совсем корректно. А что же касается иска по QSA, то по моему личному убеждению, инцидент имел место по причине некачественной проверки со стороны аудитора.

Анонимный комментирует...

Будем надеяться что первый блин. На мой взгляд инцидентов недостаточно для поколебания как у них так и у нас... У нас начинаю замечать спад интереса к проблемам ПДн кто то ждет, кто то вообще ничего не понимает и махнул рукой, кто то продолжает витать в заблуждениях...

Анонимный комментирует...

По ПД скажу: по личному наблюдению после 2006 года резко падает количество подобной информации. И насколько я знаю, ничего свежее начала 2008 года нету. И то это якобы прописка по Москве. Уверен, что если не принятие закона повлияло, то как минимум было распоряжение и была проведена работа

Максим Эмм комментирует...

Имхо очень спорные аналогии..

из той же серии - зачем вводить штрафы за нарушения ПДД - если все равно нарушали, нарушают и будут нарушать. :)

PCI DSS и ФЗ 152 (как и другие инициативы регуляторов) - это единственно возможные способы заставить компании раскошелится на ИБ:
1. превентивно, не дожидаясь громких скандалов ( о потерях особенно у нас в РФ речь не идет, если говорить о ПДн)
2. вообще хоть как то. Ибо в сказки о ROSI уже никто не верит :)

Алексей Лукацкий комментирует...

Dmitry: Проблема в том, что когда я обращаюсь к аудитору за услугами, я надеюсь, что он качественно проведет свои работы. А тут такая засада. Доверие падает. Рынок страдает.

Maxus: При нарушении ПДД есть четкое видение ущерба либо в виде жизни и здоровья, либо в виде материального ущерба авто. В случае с ПДн примеров реального ущерба не было. Наказывают на за невыполнение закона. Почувствуйте разницу.

Максим Эмм комментирует...

ну это вопрос спорный....

какое четкое видение ущерба если я развернулся через двойную сплошную днем на ровной дороге где никого не было на 2км в обе стороны?

а по поводу ожиданий - у аудиторов есть такая вещь как репутация - обращайтесь к уважаемым аудитором - не будет вопросов с качеством.
просто не все ожидают качества на самом деле. некоторые ожидают дешево и быстро получить сертификат соответствия.

Анонимный комментирует...

Извините прокомментирую...

какое четкое видение ущерба если я
развернулся через двойную сплошную днем на ровной дороге где никого не было на 2км в обе стороны?

- как говорится "это Вы прокурору расскажете..." не дай бог конечно. Вообще где то слышал что восприятие информации у человека очень забавное. Например садят за стол друг против друга двух испытуемых. Кладут на стол бумажный красный треугольник немаленький. Ведут получасовую беседу. После этого спрашивают что лежало на столе. Так вот один видел синий квадратик а другой желтый кружочек...

а по поводу ожиданий - у аудиторов есть такая вещь как репутация - обращайтесь к уважаемым аудитором - не будет вопросов с качеством.
просто не все ожидают качества на самом деле. некоторые ожидают дешево и быстро получить сертификат соответствия.

За сертификатом соответствия лучше обращаться в уважаемые федеральные органы по сертификации и в уважаемые аккредитованные испытательные лаборатории...

Анонимный комментирует...
Этот комментарий был удален автором.
Алексей Лукацкий комментирует...

Maxus: Никто не спорит, что бывают нюансы при оформлении штрафов за нарушение правил ПДД. Но и отрицать, что ущерб не виден тоже очень сложно. А вот с ПДн ситуация совершенно иная. Ущерба не видно. Совсем. И он точно не сопоставим со стоимостью защитных мер.

Анонимный комментирует...

я, например, не вижу ущерба в случае "разворот через две сплошные на ровной дороге при хорошей видимости".

Но вижу конкретный ущерб в случае, когда по "утёкшей" копии паспорта был получен кредит.

Алексей Лукацкий комментирует...

Анонимному: Были РЕАЛЬНЫЕ примеры нанесения ущерба по причине утечки паспортных данных в электронном виде? Примеры, по которым субъект ПДн обращался в суд?

Sergey Gordeychik комментирует...

>Были РЕАЛЬНЫЕ примеры нанесения ущерба

Были. Были проверки по обращению субъектов и замечания и штрафы.

http://sgordey.blogspot.com/2009/05/compliance.html

И хорошо, что регуляторы пока еще не используют крайние методы воздействия. Да ведь и платежные системы не сразу начали применять наиболее резкие санкции.
Но думаю, что несколько показательных порок но 152-ФЗ в 2010 нас ждут. Чтобы такскать сформировать правоприменительную практику.

ЗЫ.

>есть четкое видение ущерба

Безопасность должна быть проактивной :))))

Алексей Лукацкий комментирует...

Сергей, ты смешиваешь понятия ;-) Я спрашивал про реальный ущерб для субъекта ПДн. Есть примеры реального ущерба для него?

Пока все проверки РКН заканчиваются тем, что обнаруживается нарушение ФЗ. Т.е. оператора привлекают не за то, что субъект понес реальный ущерб, а за то, что оператор нарушил некоторые формализованные правила.

В случае с ПДД ущерб явный - травмы, смерть, поломка авто и т.д. А с ПДн реального ущерба не видно. Какой ущерб от того, что мои налоговые отчисления попали на Горбушку или мой домашний телефон засветился в Интернете? Для меня никакого.

С PCI другая песня. Там тоже основная проблема не в том, что клиенты теряют деньги, а в том, что Visa не хочет больше их возмещать ;-) Она и ввела систему штрафов за нарушение правил ИБ. Не соблюдаешь - плати. А Visa потом из этих денег станет компенсировать свои убытки ;-) Ведь на реальной безопасности клиента это никак не сказывается. В договорах по прежнему есть фраза, что любые действия по карте считаются совершенными от имени клиента. Даже если данные владельца карты были украдены у банка ;-(

Sergey Gordeychik комментирует...

>Я спрашивал про реальный
>ущерб для субъекта

Алексей, если вы предложите достоверную методику отделения мошенничества, в ходе подготовки которого использовались нарушения 152-ФЗ, от всех остальных, то, я думаю - это будет великолепным доказательством ущерба.

Например это 152-ФЗ или нет?

http://auto.newsru.com/article/01Aug2008/lge-kvitancii

http://realty.newsru.com/article/16Sep2008/fraud

ЗЫ.

При чем здесь собственно субъект?
Он, по большей части, не имеет возможности управлять рисками, связанных с принудительным распостранением ПД. Также как и с принудительным переходом на платежные карты.
Теперь у него появляется возможность обратной связи с оператором, что, наверное неплохо.

Алексей Лукацкий комментирует...

Сергей, для данных случаев, как ты правильно заметил, есть статья по мошенничеству. И в рамках нее можно привлекать и т.д.

Но как выполнение требований ФЗ/ПП/четверокнижия повлияет на изменение ситуации в лучшую сторону? Данный вид мошенничества исчезнет? Нет. Ведь не БКИ и не ЖЭК и не поликлиника рассылают эти лже-квитанции. А наказывают-то их. И не за ущерб, нанесенный субъекту (а именно это ставилось целью создания ФЗ-152), а за нарушение положений ФЗ/ПП. В этом и есть ключевая проблема данного закона. Это примерно как наказывать продавца столового ножа за то, что с его помощью совершенно убийство. Он всего лишь промежуточное звено.

Я не говорю, что он не нужен. Просто он нужен в немного ином виде, как и подзаконные акты и методики надзорных проверок и т.д.

Vadim комментирует...

Не такая уж и роскошь ИБ-шники в малых конторах... У нас компания - чуть больше 20 человек, но свой специалист есть. И DLP установлена - недорогая, правда, но всё же.