ОБЯЗЫВАЮЩАЯ ДОБРОВОЛЬНОСТЬ
− Тематическая подборка публикаций о проблемах безопасности индустрии платёжных карт в №2 нашего журнала за 2011 год называлась «PCI DSS / PA DSS: как это будет по-русски?». Персонально для Вас этот вопрос, по всей вероятности, должен быть сформулирован так: когда PCI Security Standards Council утвердит официальную версию перевода стандарта PCI DSS на русский язык?
− У меня состоялась первая встреча с руководством ключевого регулятора отрасли – Банком России, в ходе которой обсуждалось много вопросов. Переговорный процесс будет продолжаться, потребуется некоторое время, чтобы каждый подготовил информацию, запрошенную у него другой стороной.
В Банке России, что закономерно, хотят знакомиться с промежуточными версиями перевода. Мы постараемся управиться с этой работой как можно быстрее. Оптимистический прогноз сроков таков: официальная версия перевода полного текста стандарта на русский язык, так сказать, «PCI DSS по-русски», может появиться уже до конца текущего 2012 года. Кроме перевода стандарта, мы доработаем официальный интернет-ресурс PCI Council, чтобы, заходя на сайт, посетитель мог выбрать русский язык.
− Джереми, доводилось ли Вам сталкиваться с «национальными особенностями» применения стандарта PCI DSS, например, в странах Восточной Европы?
− Cамая большая проблема для страны, в которой английский язык не является государственным, – это, собственно, правильное понимание терминологии, всех технических требований, в том числе важных нюансов. Именно поэтому и для PCI Security Standards Council, и для российской стороны так важно появление официального перевода стандарта PCI DSS на русский язык. Такой документ существенно облегчит жизнь участникам индустрии платёжных карт.
− Чем объясняется всеобщий пристальный интерес к применению в России стандарта PCI DSS, носящего рекомендательный характер, – строгими санкциями, которые могут применяться к тем, кто не соответствует его требованиям?
− К сожалению, не могу ответить на этот вопрос. PCI Security Standards Council ни устанавливает, ни накладывает санкции за те или иные нарушения требований стандарта PCI DSS. Это входит в компетенцию платёжных систем Visa и MasterCard и других, которые, будучи конкурентами, подобную информацию не разглашают. Мы сами черпаем информацию о нарушителях и о мерах воздействия на них из прессы, из специализированных журналов вроде вашего.
− Разработка стандартов информационной безопасности в России осуществляется техническим комитетом №122 государственного органа, Федерального агентства по техническому регулированию и метрологии (Росстандар- та), а PCI Security Standards Council – общественная организация. Насколько лёгким может быть взаимопонимание и сотрудничество?
− Для нас это достаточно новые отношения. Но и мы очень хотим, чтобы официальный перевод «негосударственного» стандарта PCI DSS на русский язык появился как можно скорее. Именно поэтому выстраиваем отношения оптимальным образом с расчётом на их дальнейшее развитие.
БАНК РОССИИ − «ЗА»
− До сих пор шла речь об оптимизации применения стандарта PCI DSS в России. На летней сессии III Межбанковской конференции по информационной безопасности банков, проведённой в июне прошлого, 2011 года, речь шла о возможности интеграции его требований в комплекс документов стандарта Банка России.
− Думаю, что такое решение полностью находится в компетенции Банка России. И в ходе завершившихся переговоров, в которых участвовали и представители НП «АБИСС», Банк России выразил готовность курировать подготовку официального перевода PCI DSS на русский язык, чтобы, возможно, включить его в комплекс документов стандартизации в качестве рекомендательного документа.
Встреча в Банке России стала первым шагом, который перевёл в практическую плоскость предшествовавшие разговоры о создании официального перевода стандарта PCI DSS на русский язык. Я был польщён приглашением на встречу такого высокого уровня. Мы рады сотрудничать с ключевым государственным регулятором отрасли.
− В России, кроме Банка России, регуляторами информационной безопасности банковской сферы выступают также ФСБ России, ФСТЭК России и Роскомнадзор. Есть ли у вас рекомендации, как лучше организовать работу по переводу в этом случае?
− Из нашей практики перевода стандарта PCI DSS на другие языки оператором перевода может выступить неправительственная организация. Например, НП «АБИСС», которое возьмет на себя функции согласования промежуточных версий перевода стандарта с органами государственного регулирования, а также задействует обратную связь всех заинтересованных участников процесса, таких как экваеры, мерчанты, кредитные организации и QSA-компании, работающие на российском рынке.
Такова международная практика: некоммерческие, неправительственные организации, отраслевые сообщества выполняют функции посредника между регуляторами и другими организациями. Лично мне доводилось получать подобное содействие от неправительственных организаций, представляющих индустрию платёжных карт, и в Великобритании, и в скандинавских странах.
− По-видимому, у Вас обширный опыт сотрудничества с Центральным банком Европы и национальными центральными банками стран, входящих в Европейский Союз?
− В Европе на государственном уровне обычно больше интересуются широкими версиями стандартов информационной безопасности. Не только индустрии платёжных карт, но также банков и кредитно-финансовых операций. Например, для Центрального банка Европы стандарт PCI DSS, нормирующий безопасность карточных данных, – достаточно узкая область, чтобы заниматься ею отдельно.
Внимание, которое представители руководства Банка России уделяют появлению официальной версии перевода стандарта PCI DSS на русский язык, подтверждает актуальность выполнения этой задачи. PSI DSS, международный стандарт безопасности индустрии платёжных карт, должен быть доступен по всему миру, включая Россию как один из ключевых рынков.
ПРИГЛАШАЮТСЯ РОССИЯНЕ
− В России, кроме государственных регуляторов, субъектами, играющими ведущую роль в выполнении требования стандарта PCI DSS, являются банки. Они наиболее жёстко регулируются государством, их специалисты являются своего рода гвардией системы информационной безопасности страны. А кто играет «первую скрипку» в Европе?
− В странах Европы нам приходится взаимодействовать не столько с государственными организациями, сколько с банками, с платежными системами, торговыми компаниями, которые этот стандарт используют, а также с отраслевыми ассоциациями в сфере информационной безопасности кредитно-финансовых услуг. У нас тесные отношения со всеми участниками цепочки платежей – и с провайдерами, и с мерчантами. Но так же, как и в России, ключевую роль в выполнении требований стандарта PCI DSS играют банки-эквайеры.
− Каков процесс совершенствования стандарта PCI DSS в настоящее время?
− Сейчас идёт второй год очередного цикла обновления стандарта PCI DSS, общая продолжительность которого составляет 3 года. Собираем отклики – оценки, пожелания и рекомендации организаций, входящих в PCI Security Standards Council, суммируем их и анализируем. По результатам итоговых выводов понимаем, какие изменения требуется вносить в стандарт. Отмечу, что последние изменения были не столь существенны, они заключались в уточнении некоторых частных моментов, поскольку в последнее время киберпреступники кардинально не меняли инструментарий информационных атак.
− У российских специалистов есть перспективы участвовать в этой работе?
− В работе по развитию, обновлению стандарта PCI DSS участвует много организаций, расположенных в разных странах по всему миру. Мы заинтересованы в как можно более широком международном сотрудничестве в этой области. У каждой страны свои особенности, разные проблемы обеспечения безопасности, а кибер- преступность уже давно вышла на международный уровень. Нам нужно совместно учитывать все возможные угрозы и инструментарий информационных атак по всему миру.
Приходится своевременно отслеживать новые технологии, которые появляются чуть ли не ежедневно. Наряду с преимуществами, им свойственны и специфические уязвимости. Мы должны заранее формулировать требования по надёжной информационной защите новых технологий. Я надеюсь, что официальная версия перевода стандарта на русский язык поможет полноценному участию российских специалистов в информационной безопасности в его дальнейшем совершенствовании.
− Вам доводилось прежде бывать в нашей стране?
− Нет, это мой первый визит в Россию, в Москву, и не последний, я уверен. Я рад, что этот визит наконец-то состоялся, в отличие от прошлого года, когда из-за неотложных дел мне пришлось ограничиться выступлением в формате видеозаписи. Надеюсь, будет ещё много моих визитов, которые помогут продвижению стандарта PCI DSS в России. Наше сотрудничество должно шириться и развиваться.
НАЧИНАТЬ С ГЛАВНОГО И ПРОСТОГО
− Прибыв в Россию, Вы выступили на форуме, посвящённом инновационным технологиям финансовых услуг – дистанционным сервисам, платёжным картам и электронным расчётам. Аудитория, по-видимому, ожидала постановки серьёзных проблем и была удивлена, что Ваше выступление было посвящено изложению базовых положений стандарта PCI DSS.
− Что касается моего выступления на конференции, могу пояснить: я придаю большое значение качеству развития нашего сотрудничества и считаю, что важно с самого начала правильно понимать друг друга. Для этого и фокусировал своё выступление на простом и главном. Так сказать, на прописных истинах, без которых невозможно переходить к более сложным вопросам и проблемам. В том числе на необходимости официального перевода стандарта PCI DSS на русский язык.
− Насколько важно для сертификации российских специалистов по информационной безопасности специализированное обучение стандарту PCI DSS – методикам его принятия, выполнения требований, оценки степени соответствия?
− В Европе PCI Security Standards Council уделяет большое внимание специализированному образованию и повышению квалификации специалистов, обучению всем тонкостям требований PCI DSS. Мы сами разрабатываем обучающие программы, организуем обучение, проводим сертификацию. Мы будем рады работать с НП «АБИСС», разрабатывать и выполнять такие программы и в России. Думаю, что в этой области наше сотрудничество будет расширяться.
− Теперь вопрос личный, но имеющий прямое отношение к теме нашего разговора. Доводилось ли вам, вашим родственникам, друзьям или знакомым сталкиваться с инцидентами информационной безопасности, в частности, с попытками хищения, случалось ли оказываться в роли жертв?
− А у кого не было такого опыта, конечно, был! И моё твёрдое убеждение таково, что об информационной безопасности должны в первую очередь беспокоиться не клиенты, а банки, участники платёжных систем. Они должны принимать стандарты и выполнять их требования, обеспечивать безопасность платежей при помощи карт везде, в каждой точке, где они принимаются к оплате.
− Позвольте, Джереми, поблагодарить за исчерпывающие ответы на поставленные вопросы и пожелать успеха в начинаниях, о которых Вы рассказали. Со своей стороны обещаем всестороннюю информационную поддержку вашей работы, продвижению стандарта PCI DSS в России.
Надеемся, что в феврале следующего года Вы примете участие в Уральском форуме – главной межбанковской конференции, посвящённой информационной безопасности, одним из организаторов которого является ваш российский партнёр – НП «АБИСС». Кроме участия в деловой программе, нам была бы интересна ваша оценка уральского горнолыжного курорта.
BIS-КОММЕНТАРИЙ
Павел ГЕНИЕВСКИЙ, председатель правления НП «АБИСС»:
– Сотрудничество НП «АБИСС» с Европейским отделением PCI Security Standards Council – важный драйвер интеграции требований международного стандарта PCI DSS в Стандарт Банка России, регламентирующий обеспечение информационной безопасности организаций отечественной банковской системы. Это, безусловно, верное решение, поскольку именно банки являются ключевым субъектом индустрии платёжных карт. Выполнение требований PCI DSS во многом ложится на плечи именно их сотрудников.
Стандартизация кредитно-финансовой сферы в нашей стране всё больше соответствует ведущей мировой практике. Важную роль в этой работе играет использование механизмов саморегулирования, а также – взаимодействие между собой негосударственных, некоммерческих организаций, как международных, так и национальных.
Накопленный НП «АБИСС» ценный опыт, на наш взгляд, полезен для кредитно-финансовых организаций, поставщиков услуг, российских государственных регуляторов. Надеемся, что он будет востребован и на международном уровне, в частности, при взаимодействии с PCI Security Standards Council.
Не секрет, что в России циркулируют неофициальные переводы PCI DSS. Однако именно отсутствие официального перевода, признаваемого PCI Council, в определенной степени тормозит разработку внутренних нормативных документов, необходимых участникам национальной платежной системы. Таких документов, которые бы однозначно толковались всеми заинтересованными сторонами, включая регуляторов. На пути «перевода на русский язык» PCI DSS я предвижу немало различных трудностей, но уверен, что мы обладаем всеми ресурсами, чтобы их преодолеть.