курс цб на 23.09:
57.6527
69.0737

Аудит на соответствие PCI DSS и Уголовный кодекс РФ

17 августа 2012 16:17 Количество просмотров74 просмотра

Тесты на проникновение – непременный атрибут любого аудита на соответствие компании тем или иным стандартам информационной безопасности. В принципе, их можно рассматривать в качестве этаких боевых стрельб, проводимых в рамках военных учений, результат которых свидетельствует об уровне «боеготовности» систем защиты. Однако, как известно, в мирное время любые боевые стрельбы ведутся исключительно по специальным мишеням, не нанося ущерба «личному составу» и боевой технике участников учений. Как показывает практика, в случае проведения тестов на проникновение об этом очевидном правиле зачастую забывают.

По мнению некоторых экспертов, наиболее остро юридические последствия такой забывчивости могут проявиться в ходе аудита банковских информационных систем по PCI DSS. Справедливости ради следует отметить, что рассматриваемые в предлагаемом вниманию читателей «ПЛАС» материале проблемы, на первый взгляд, могут показаться несерьезными, даже несколько абсурдными. Возможно также, что сам повод обратиться к этой теме обусловлен не столько возможными некорректными действиями участников рынка, сколько несовершенством российского законодательства, традиционно отстающего от реалий времени. Однако, как известно, закон есть закон (до тех пор, пока он действует), и в первую очередь в банковской сфере, одной из наиболее чувствительных к любым проявлениям правового нигилизма. В свою очередь, другая, не менее справедливая крылатая фраза утверждает: кто предупрежден, тот вооружен….

Редакция журнала «ПЛАС»

Николай Пятиизбянцев


Cогласно требованиям п. 11.3. стандарта PCI DSS компанией, попадающей под действие стандарта, должны проводиться тесты на проникновение. Данные тесты могут выполняться как собственными квалифицированными сотрудниками, так и сторонней организацией. В связи с тем, что данные тесты представляют собой моделирование действий злоумышленника по проникновению в информационную систему кредитной организации или процессингового центра, здесь могут возникнуть определенные сложности.

Как уточняет Антон Карпов, аналитик компании Digital Security , QSA-аудитора, «под тестом на проникновение понимается санкционированное проведение атак на сетевом уровне и на уровне приложений на все публично доступные сервисы компании из сети Интернет (т. н. внешний тест на проникновение) и внутренние ресурсы, входящие в область аудита PCI DSS (т.е. внутренний активный аудит защищенности)»1. При этом особо указывается, что тест на проникновение «поможет детально выявить реальные уязвимости, присутствующие в сети компании и могущие стать причиной утечки данных держателей карт»2. В случае, если такая атака окажется успешной, компания, осуществляющая тест на проникновение, может получить доступ к следующей охраняемой законом информации: коммерческой, банковской тайне, персональным данным. Так как тестирующая компания действует на основании договора, то есть с санкции банка или процессинга, то доступ к коммерческой тайне будет легитимным, а вот на доступ к банковской тайне или персональным данным необходимо получить разрешение клиента банка, чья конфиденциальная информация может стать известна третьей стороне. В этой ситуации практически любой практикующий юрист заявит вам, что согласно букве российского законодательства без наличия такого разрешения компрометация банковской тайны или персональных данных не только может, но и должна повлечь за собой уголовную ответственность.

Старший следователь отдела по делам об особо опасных преступлениях в сфере экономической деятельности Следственного комитета при МВД России, майор юстиции, кандидат юридических наук Андрей ДоронинКомментирует старший следователь отдела по делам об особо опасных преступлениях в сфере экономической деятельности Следственного комитета при МВД России, майор юстиции, кандидат юридических наук Андрей Доронин:

На мой взгляд, автором настоящей статьи справедливо ставится вопрос о защите института банковской тайны и персональных данных при проведении тестов на проникновение аудиторами, как внутренними, так и внешними. Если, например, представить, что в результате проведения тестовой атаки компьютерная система, в которой в течение нескольких лет формировалась клиентская база банка (содержащая персональные данные, номера банковских карт и т. д.), была заблокирована или уничтожена, можно говорить об умышленно совершенном неправомерном доступе к компьютерной информации – ст. 272 УК Российской Федерации.

В действительности представляется недопустимым тестировать таким образом безопасность действующих баз данных, содержащих банковскую тайну. Как вариант, лучше проводить соответствующие тесты на специально сделанных моделях.

См. также Антон Карпов. «Все, что вы хотели знать о PCI DSS, но боялись спросить», журнал «ПЛАС» №1 (141) 2009.
с. 11–13.

Полный текст статьи читайте в журнале "ПЛАС"7 (147) ’2009 сс. 32-36




В рубриках:
Журнал ПЛАС № 7 (147)2009
Лента новостей
Журнал ПЛАС № 7 (1 ...
Регуляторы ЦБ объявил о начале санации Бинбанка
21 сентября 2017 13:29
Количество просмотров 205 просмотров
Технологии iOS 11 будет доступна 19 сентября с 20:00 мск
19 сентября 2017 19:57
Количество просмотров 312 просмотров
Мероприятия Новые разработки на BIS Summit 2017
19 сентября 2017 12:01
Количество просмотров 195 просмотров
Мероприятия II CryptoBazar Pre-ICO Day в Москве
19 сентября 2017 11:01
Количество просмотров 174 просмотра
Банки и МФО Nordea уйдет с российского рынка?
19 сентября 2017 09:31
Количество просмотров 172 просмотра
Регуляторы ЦБ снизил ключевую ставку до 8,5%
15 сентября 2017 13:34
Количество просмотров 344 просмотра
Регуляторы Банкиры будут отвечать имуществом?
15 сентября 2017 10:51
Количество просмотров 216 просмотров
Банки и МФО Куда уходят VIP’ы?
14 сентября 2017 12:24
Количество просмотров 338 просмотров