С 22 по 24 октября 2019 года в Дублине прошла ежегодная конференция PCI Community Meeting, организованная Советом PCI SSC, в рамках которой его представителями был анонсирован ряд важных нововведений. Владимир Ковалев, инженер по защите информации компании Deiteriy, принимавшей участие в мероприятии, делится с журналом «ПЛАС» наиболее актуальными итогами конференции.
Тема появления новых версий стандартов была затронута в первый же день работы конференции, 22 октября. По заявлению представителей PCI SSC, вместо PCI DSS v3.2.1 будет выпущена новая версия стандарта PCI DSS v4.0. В свою очередь, вместо стандарта PA-DSS уже выпущена серия стандартов и сопровождающих документов Secure Software Framework (SSF). А на смену стандарту PCI P2PE v2.0 придет новая версия PCI P2PE v3.0. Чтобы предоставить возможность применять мобильные устройства для приема платежей посредством платежных карт, будет выпущен стандарт Contactless Payments on COTS Standard. Рассмотрим имеющуюся на сегодняшний день информацию о каждой из новых версий.
PCI DSS v4.0
В новой версии стандарта PCI DSS предполагается большая гибкость в достижении соответствия требованиям. На смену компенсационным мерам в классическом варианте придут два других варианта достижения соответствия требованиям стандарта: defined implementation и customized implementation.
- Defined implementation. Этот подход используется в актуальной версии 3.2.1, а также использовался и в предыдущих версиях. Суть его заключается в том, что в каждом требовании стандарта PCI DSS описана контрмера, которую необходимо внедрить, и описана проверочная процедура, которую необходимо выполнить, чтобы оценить эффективность внедрения контрмеры. В случае если в компании по какой-либо причине невозможно внедрить описанную в стандарте контрмеру, в версиях стандарта 3.2.1 и более ранних необходимо внедрять компенсационные меры для снижения риска, от которого закрывает основная контрмера.
- Customized implementation. Это альтернативный способ достижения целей каждого требования, введенный в PCI DSS v4.0. В случае с customized implementation контрмера может быть определена компанией самостоятельно в зависимости от возможностей, бизнес-процессов и требований к безопасности в самой компании. Однако вместе с вводимой контрмерой необходимо также внедрить метод оценки ее эффективности, который будет использоваться аудитором вместо проверочной процедуры стандарта из варианта defined implementation. В предыдущих версиях стандарта PCI DSS необходимо было указать официальную причину невозможности внедрения требуемой контрмеры. Поскольку при использовании customized implementation такую причину указывать не требуется, компании смогут более гибко подходить к реализации требований стандарта новой версии.
Для разных требований стандарта можно применять разные подходы достижения соответствия (например, для одних требований можно использовать defined implementation, а для других – customized implementation). Поскольку в новой версии стандарта допустимо определять контрмеры в компании самостоятельно, пропадает смысл использовать компенсационные меры, которые, соответственно, из нее исчезли.
Именно такое нововведение обеспечивает гибкость, облегчает приведение к соответствию и поддержку соответствия требованиям стандарта PCI DSS для компаний с высокой зрелостью риск-ориентированной модели управления информационной безопасностью. Первый черновой вариант стандарта был опубликован Советом в закрытом доступе в конце октября 2019 года. Вместе с первым полным черновым вариантом стандарта были опубликованы шаблоны отчетных документов, сводка информации об изменениях в стандарте новой версии и информация о новом подходе в целом.
В первом квартале 2020 года Совет PCI SSC намерен рассмотреть все комментарии, полученные через программу RFC (Request For Comments). Во втором квартале 2020 года планируется проведение дополнительного периода программы RFC. После обработки комментариев, полученных во второй волне, будет выпущена окончательная версия стандарта PCI DSS v4.0. Доступ к черновому варианту стандарта и программе RFC в целом имеют только основные контактные лица организаций:
- участников PCI SSC;
- QSA;
- ASV.
Secure Software Framework (SSF)
Также в первый день конференции PCI Community Meeting был представлен доклад о нововведениях Совета в области разработки приложений, а именно о серии стандартов, руководств и других документов, относящихся к SSF. Все документы уже опубликованы в открытом доступе на официальном сайте Совета. При этом планируется дополнить стандарт специальными модулями, в которых будут описаны Function-Specific и Platform-Specific требования. Это позволит
Продолжение материала содержит полезную для вашего бизнеса информацию…
