курс цб на 22.11:
59.4604
69.8184

Аудит на соответствие PCI DSS и Уголовный кодекс РФ

17 августа 2012 16:17 Количество просмотров91 просмотр

Тесты на проникновение – непременный атрибут любого аудита на соответствие компании тем или иным стандартам информационной безопасности. В принципе, их можно рассматривать в качестве этаких боевых стрельб, проводимых в рамках военных учений, результат которых свидетельствует об уровне «боеготовности» систем защиты. Однако, как известно, в мирное время любые боевые стрельбы ведутся исключительно по специальным мишеням, не нанося ущерба «личному составу» и боевой технике участников учений. Как показывает практика, в случае проведения тестов на проникновение об этом очевидном правиле зачастую забывают.

По мнению некоторых экспертов, наиболее остро юридические последствия такой забывчивости могут проявиться в ходе аудита банковских информационных систем по PCI DSS. Справедливости ради следует отметить, что рассматриваемые в предлагаемом вниманию читателей «ПЛАС» материале проблемы, на первый взгляд, могут показаться несерьезными, даже несколько абсурдными. Возможно также, что сам повод обратиться к этой теме обусловлен не столько возможными некорректными действиями участников рынка, сколько несовершенством российского законодательства, традиционно отстающего от реалий времени. Однако, как известно, закон есть закон (до тех пор, пока он действует), и в первую очередь в банковской сфере, одной из наиболее чувствительных к любым проявлениям правового нигилизма. В свою очередь, другая, не менее справедливая крылатая фраза утверждает: кто предупрежден, тот вооружен….

Редакция журнала «ПЛАС»

Николай Пятиизбянцев


Cогласно требованиям п. 11.3. стандарта PCI DSS компанией, попадающей под действие стандарта, должны проводиться тесты на проникновение. Данные тесты могут выполняться как собственными квалифицированными сотрудниками, так и сторонней организацией. В связи с тем, что данные тесты представляют собой моделирование действий злоумышленника по проникновению в информационную систему кредитной организации или процессингового центра, здесь могут возникнуть определенные сложности.

Как уточняет Антон Карпов, аналитик компании Digital Security , QSA-аудитора, «под тестом на проникновение понимается санкционированное проведение атак на сетевом уровне и на уровне приложений на все публично доступные сервисы компании из сети Интернет (т. н. внешний тест на проникновение) и внутренние ресурсы, входящие в область аудита PCI DSS (т.е. внутренний активный аудит защищенности)»1. При этом особо указывается, что тест на проникновение «поможет детально выявить реальные уязвимости, присутствующие в сети компании и могущие стать причиной утечки данных держателей карт»2. В случае, если такая атака окажется успешной, компания, осуществляющая тест на проникновение, может получить доступ к следующей охраняемой законом информации: коммерческой, банковской тайне, персональным данным. Так как тестирующая компания действует на основании договора, то есть с санкции банка или процессинга, то доступ к коммерческой тайне будет легитимным, а вот на доступ к банковской тайне или персональным данным необходимо получить разрешение клиента банка, чья конфиденциальная информация может стать известна третьей стороне. В этой ситуации практически любой практикующий юрист заявит вам, что согласно букве российского законодательства без наличия такого разрешения компрометация банковской тайны или персональных данных не только может, но и должна повлечь за собой уголовную ответственность.

Старший следователь отдела по делам об особо опасных преступлениях в сфере экономической деятельности Следственного комитета при МВД России, майор юстиции, кандидат юридических наук Андрей ДоронинКомментирует старший следователь отдела по делам об особо опасных преступлениях в сфере экономической деятельности Следственного комитета при МВД России, майор юстиции, кандидат юридических наук Андрей Доронин:

На мой взгляд, автором настоящей статьи справедливо ставится вопрос о защите института банковской тайны и персональных данных при проведении тестов на проникновение аудиторами, как внутренними, так и внешними. Если, например, представить, что в результате проведения тестовой атаки компьютерная система, в которой в течение нескольких лет формировалась клиентская база банка (содержащая персональные данные, номера банковских карт и т. д.), была заблокирована или уничтожена, можно говорить об умышленно совершенном неправомерном доступе к компьютерной информации – ст. 272 УК Российской Федерации.

В действительности представляется недопустимым тестировать таким образом безопасность действующих баз данных, содержащих банковскую тайну. Как вариант, лучше проводить соответствующие тесты на специально сделанных моделях.

См. также Антон Карпов. «Все, что вы хотели знать о PCI DSS, но боялись спросить», журнал «ПЛАС» №1 (141) 2009.
с. 11–13.

Полный текст статьи читайте в журнале "ПЛАС"7 (147) ’2009 сс. 32-36




В рубриках:
Журнал ПЛАС № 7 (147)2009
Лента новостей
Журнал ПЛАС № 7 (1 ...
Digital banking Альфа-Банк: счет в пользу семьи
20 ноября 2017 10:55
Количество просмотров 225 просмотров
Мероприятия Teradata Форум 2017 прошел в Москве
20 ноября 2017 08:31
Количество просмотров 256 просмотров
Банки и МФО Qiwi приобрела Рокетбанк и «Точку»
17 ноября 2017 15:15
Количество просмотров 827 просмотров