После крупных взломов карточных платежных систем, произошедших в последние годы, организации, не желающие разделить печальную участь пострадавших, стали активно обсуждать вопросы внедрения и соблюдения стандартов информационной безопасности PCI DSS, PA DSS, PTS и т. п. По заказу Cisco аналитическая компания InsightExpress опросила 500 американских руководителей, принимающих решения в области информационных технологий, чтобы выяснить их отношение к стандарту PCI DSS (Data Security Standard — стандарт безопасности данных) через пять лет после его разработки и в момент выхода новой, второй версии.
В опросе приняли участие IT-руководители, отвечающие за соблюдение спецификаций PCI в организациях из сфер образования, финансовых услуг, государственного управления, здравоохранения и розничной торговли. Исследователи хотели точно оценить их отношение к стандарту PCI DSS, измерить расходы на его внедрение и выявить проблемы, связанные с соблюдением этих нормативных требований, а также замерить распространение определенных технологий, чтобы лучше понять, чем организации руководствуются при выполнении спецификации PCI DSS. Выяснилось следующее:
— 70% опрошенных считают, что соблюдение стандарта PCI DSS делает их организации более защищенными;
— 87% полагают, что требования PCI DSS необходимы для защиты данных держателей платежных карт;
— лучше всех выполняют требования PCI DSS предприятия розничной торговли и финансовые организации; розничная торговля самым серьезным образом отнеслась к внедрению и реализации этого стандарта;
— 67% респондентов ожидают, что в течение ближайшего года их расходы на соблюдение стандарта PCI DSS будут возрастать; это значит, что руководители компаний и члены советов директоров считают PCI DSS весьма важной инициативой;
— 60% предположили, что усилия по соблюдению стандарта PCI DSS могут стимулировать реализацию других проектов, связанных с сетями и сетевой безопасностью.
Отвечая на вопрос о проблемах соблюдения спецификаций PCI DSS, опрошенные чаще всего упоминали необходимость обучения сотрудников правильному обращению с данными держателей платежных карт. 43% признали наличие проблем в этой области. Кроме того, 32% заявили о необходимости обновления устаревших систем.
По мнению респондентов, из 12 требований PCI DSS труднее всего соблюдать требования к отслеживанию и мониторингу всех случаев доступа к сетевым ресурсам и пользовательским данным (37%), разработке и поддержке безопасных систем и приложений (32%) и защите хранимых данных держателей карт (30%).
С аудитом требований PCI DSS лучше всех справляются государственные структуры. Впрочем, подавляющее большинство других организаций тоже стараются защитить конфиденциальные данные держателей карт.
85% опрошенных полагают, что в настоящий момент их организации способны успешно пройти аудит PCI DSS, а 78% успешно прошли его с первого раза.
Наиболее высокие результаты в данной области показали государственные организации: 85% госучреждений успешно прошли аудит PCI DSS с первого раза. Хуже всего дела здесь обстоят у медицинских организаций (72%).
Свыше 85% опрошенных знакомы с разъяснениями и рекомендациями по недавно объявленной новой версии стандарта PCI DSS 2.0.
Самыми примечательными оказались ответы на вопросы о роли технологии в платежной среде. Открылся удивительный факт: организации внедряют новые технологии заранее, еще до выхода соответствующих директив Совета США по внедрению стандартов безопасности в платежной индустрии (PCI Security Standard Council).
Хотя совет дал рекомендации по технологиям, не включенным открыто в спецификации DSS, таким как шифрование каналов «точка-точка» и EMV (карточные системы Europay, MasterCard и Visa с микропроцессорами и PIN-кодами), точных стандартов для шифрования «точка-точка» до сих пор не существует. Тем не менее организации принимают эту технологию в надежде на «сжатие среды пользовательских данных», то есть уменьшение требований к компьютерным системам, обрабатывающим данные держателей платежных карт.
По поводу текущего состояния систем безопасности и используемых технологий респонденты высказались следующим образом:
— 57% удовлетворены нынешней ситуацией в области безопасности виртуальной среды в своих организациях;
— 36% хотят увеличить число виртуальных устройств безопасности (межсетевых экранов и систем предотвращения вторжений), чтобы удовлетворить требования PCI 2.0;
— 30% стремятся усилить защищенность виртуализационного программного обеспечения с помощью методов, рекомендуемых производителями и стандартом PCI DSS;
— 60% организаций используют шифрование «точка-точка», чтобы упростить соблюдение требований безопасности и по возможности уменьшить объем следующей аудиторской проверки PCI DSS;
— шифрованием «точка-точка» пользуются почти 70% финансовых организаций;
— 45% опрошенных заявили, что используют спецификации EMV, чтобы уменьшить вероятность мошенничества;
— еще 23% думают о внедрении этой технологии.
«Результаты исследования неожиданностью не стали: всем ясно, чем чреват взлом платежной системы или базы данных, где хранится идентификационная информация, — отметил вице-президент, главный директор Cisco по вопросам безопасности Джон Стюарт (John N Stewart). — Стандарт PCI DSS помогает решать проблемы безопасности в конкурентной среде, где крайне важно защищать информацию заказчиков. Требования PCI DSS нацелены на создание простой и эффективной системы защиты, позволяющей осуществлять непрерывный мониторинг. Именно в этих направлениях должна развиваться отрасль информационной безопасности».
Леонид ЧУРИКОВ, Banki.ru (по материалам компании Cisco)
