Google+
Журнал Плас Плас Журнал http://www.plusworld.ru/
ул. Кржижановского, д. 29, корп. 5 Москва, 117218 Россия
+7 495 961 1065 http://www.plusworld.ru/upload/templates/logo_plus_ru.png
RSS RSS RSS RSS

Аудит на соответствие PCI DSS и Уголовный кодекс РФ

(Нет голосов)

20.08.2009 Количество просмотров 1084 просмотра
Тесты на проникновение – непременный атрибут любого аудита на соответствие компании тем или иным стандартам информационной безопасности. В принципе, их можно рассматривать в качестве этаких боевых стрельб, проводимых в рамках военных учений, результат которых свидетельствует об уровне «боеготовности» систем защиты. Однако, как известно, в мирное время любые боевые стрельбы ведутся исключительно по специальным мишеням, не нанося ущерба «личному составу» и боевой технике участников учений. Как показывает практика, в случае проведения тестов на проникновение об этом очевидном правиле зачастую забывают.

По мнению некоторых экспертов, наиболее остро юридические последствия такой забывчивости могут проявиться в ходе аудита банковских информационных систем по PCI DSS. Справедливости ради следует отметить, что рассматриваемые в предлагаемом вниманию читателей «ПЛАС» материале проблемы, на первый взгляд, могут показаться несерьезными, даже несколько абсурдными. Возможно также, что сам повод обратиться к этой теме обусловлен не столько возможными некорректными действиями участников рынка, сколько несовершенством российского законодательства, традиционно отстающего от реалий времени. Однако, как известно, закон есть закон (до тех пор, пока он действует), и в первую очередь в банковской сфере, одной из наиболее чувствительных к любым проявлениям правового нигилизма. В свою очередь, другая, не менее справедливая крылатая фраза утверждает: кто предупрежден, тот вооружен….

Редакция журнала «ПЛАС»





Николай Пятиизбянцев

Николай ПятиизбянцевCогласно требованиям п. 11.3. стандарта PCI DSS компанией, попадающей под действие стандарта, должны проводиться тесты на проникновение. Данные тесты могут выполняться как собственными квалифицированными сотрудниками, так и сторонней организацией. В связи с тем, что данные тесты представляют собой моделирование действий злоумышленника по проникновению в информационную систему кредитной организации или процессингового центра, здесь могут возникнуть определенные сложности.

Как уточняет Антон Карпов, аналитик компании Digital Security , QSA-аудитора, «под тестом на проникновение понимается санкционированное проведение атак на сетевом уровне и на уровне приложений на все публично доступные сервисы компании из сети Интернет (т. н. внешний тест на проникновение) и внутренние ресурсы, входящие в область аудита PCI DSS (т.е. внутренний активный аудит защищенности)»1. При этом особо указывается, что тест на проникновение «поможет детально выявить реальные уязвимости, присутствующие в сети компании и могущие стать причиной утечки данных держателей карт»2. В случае, если такая атака окажется успешной, компания, осуществляющая тест на проникновение, может получить доступ к следующей охраняемой законом информации: коммерческой, банковской тайне, персональным данным. Так как тестирующая компания действует на основании договора, то есть с санкции банка или процессинга, то доступ к коммерческой тайне будет легитимным, а вот на доступ к банковской тайне или персональным данным необходимо получить разрешение клиента банка, чья конфиденциальная информация может стать известна третьей стороне. В этой ситуации практически любой практикующий юрист заявит вам, что согласно букве российского законодательства без наличия такого разрешения компрометация банковской тайны или персональных данных не только может, но и должна повлечь за собой уголовную ответственность.


Старший следователь отдела по делам об особо опасных преступлениях в сфере экономической деятельности Следственного комитета при МВД России, майор юстиции, кандидат юридических наук Андрей ДоронинКомментирует старший следователь отдела по делам об особо опасных преступлениях в сфере экономической деятельности Следственного комитета при МВД России, майор юстиции, кандидат юридических наук Андрей Доронин:

На мой взгляд, автором настоящей статьи справедливо ставится вопрос о защите института банковской тайны и персональных данных при проведении тестов на проникновение аудиторами, как внутренними, так и внешними. Если, например, представить, что в результате проведения тестовой атаки компьютерная система, в которой в течение нескольких лет формировалась клиентская база банка (содержащая персональные данные, номера банковских карт и т. д.), была заблокирована или уничтожена, можно говорить об умышленно совершенном неправомерном доступе к компьютерной информации – ст. 272 УК Российской Федерации.

В действительности представляется недопустимым тестировать таким образом безопасность действующих баз данных, содержащих банковскую тайну. Как вариант, лучше проводить соответствующие тесты на специально сделанных моделях.





См. также Антон Карпов. «Все, что вы хотели знать о PCI DSS, но боялись спросить», журнал «ПЛАС» №1 (141) 2009.
с. 11–13.


Полный текст статьи читайте в журнале "ПЛАС"7 (147) ’2009 сс. 32-36

Комментарии (0):

Добавлять комментарии могут только зарегистрированные Пользователи


Читайте в этом номере:
обновить

а вы знаете, что...

… каури были не только «туземным» средством расчета, но также в ходу в Средней Азии, Европе и даже Руси? На Руси в XII-XIV веках, в так называемый безмонетный период, каури были деньгами под названием ужовок, жерновков или змеиных головок. Их до сих пор находят при раскопках в Новгородских и Псковских землях в виде кладов и в погребениях. Только в XIX веке в Западную Африку ввезли не менее 75 млрд раковин каури общим весом 115 тысяч тонн?