Технические меры защиты для финансовых организаций в свете конфликта PCI DSS и ГОСТ Р 57580.1-2017

Технические меры защиты для финансовых организаций в свете конфликта PCI DSS и ГОСТ Р 57580.1-2017

В контексте современных стандартов по информационной безопасности финансовых организаций, в частности PCI DSS и ГОСТ Р 57580.1-2017, наблюдается определенное напряжение, вызванное санкциями в отношении Национальной Системы Платежных Карт (НСПК). Ранее НСПК активно участвовала в деятельности Совета PCI DSS, что символизировало глобальную интеграцию и сотрудничество в области платежных систем. Однако на фоне санкций и изменений на мировом финансовом рынке отраслевой фокус и предпочтения в сфере стандартов безопасности видоизменяются.

Теоретические аспекты и области применения ГОСТ Р 57580.1-2017 и PCI DSS демонстрируют различия в подходах и целях. PCI DSS был разработан ведущими Международными платежными системами (МПС) с целью гармонизации требований к безопасности платежных карт, исходя из наблюдений и анализа реальных инцидентов. Уникальность PCI DSS заключается в его практической ориентированности с учетом международного опыта, учитывающего интересы различных сторон, что напрямую отразилось на формировании стандарта.

В то же время, ГОСТ Р 57580.1-2017 сконцентрирован на риск-ориентированной защите информационных систем в широком спектре атак и выстраивает общие положения безопасности информационных систем конкретно на территории России. Его требования структурированы таким образом, чтобы обеспечить стабильное функционирование информационных систем в различных сферах.

В свете наложенных санкций на НСПК и растущего давления международного сообщества требования стандарта PCI DSS могут стать объектом пересмотра для многих российских организаций, снижая интерес и доверие к международной стандартизации в сфере безопасности платежных систем. Это, в свою очередь, может привести к повышенному вниманию и популярности стандартов, разработанных на национальном уровне, в т.ч. ГОСТ Р 57580.1-2017, с уклоном на организационные и технические меры по противодействию угрозам безопасности, адаптированным под особенности российской информационной среды.

В условиях санкций и меняющегося мирового порядка ГОСТ Р 57580.1-2017 может обрести дополнительное значение для российских организаций как основополагающий стандарт информационной безопасности, описывающий технические меры защиты информации в качестве важного и эффективного инструмента обеспечения безопасности данных в дополнение к организационным мерам.

Этот ГОСТ, как и многие другие стандарты, классифицирует уровни защиты информации в зависимости от степени угроз и важности самих данных, подлежащих охране. Так, в пункте «Базовый состав мер по организации и контролю физического доступа в помещения» обозначена мера ФД.13, подчеркивающая важность контроля доступа к серверному и сетевому оборудованию, расположенному в запираемых серверных стоечных шкафах. И хотя для обеспечения безопасности шкафов стандарт предписывает принятие, в основном, организационных мер, в главе 7.1.6 отмечено, что по решению финансовой организации такая защита может быть реализована путем применения технических мер защиты информации.

Неслучайно в последнее время многие эксперты, рассуждая о сравнении организационных и технических мер, все чаще отдают явный приоритет последним. В частности, на недавней конференции, прошедшей в начале марта 2024 года в Кибердоме, специалисты КРОК «Облачные сервисы» обсуждали вопросы госрегулирования облачной защиты и отдельно отметили преимущество технических мер перед организационными в контексте обеспечения безопасности информации в современных информационных системах. Среди ключевых аспектов были упомянуты:

• Превосходство технических решений за счет обеспечения автоматизированного и надежного контроля доступа к ресурсам в противовес организационным мерам, которые зачастую зависят от человеческого фактора и могут быть нестабильны или не в полной мере эффективны.

• Гораздо более высокая адаптируемость и гибкость технических мер в отношении трансформирующихся угроз и требований безопасности, в то время как изменение организационных мер требует много времени на пересмотр процессов, обучение персонала и иногда даже внедрение новой корпоративной культуры.

• Точность и конкретика в реализации технических решений позволяют детально настраивать уровни доступа и правила безопасности, в отличие от организационных мер, которые могут по-разному трактоваться различными исполнителями.

• Технологии позволяют масштабировать системы безопасности по мере роста инфраструктуры, тогда как организационные меры требуют увеличения административных ресурсов.

В свете возникающих нюансов в регулировании финансовых (банковских) операций решение AGRG ЦОД становится одним из наиболее востребованных инструментов для обеспечения безопасности в данной сфере. Оно представляет собой высокотехнологичную интегрированную систему, основанную на использовании современных технических мер для защиты серверного и сетевого оборудования, размещенного в дата-центрах и коммуникационных шкафах.

Комплекс AGRG ЦОД отличает универсальность внедрения в существующие системы безопасности дата-центров с учетом всех необходимых аспектов контроля и управления доступом к серверным шкафам. Подход сочетает в себе как контроль доступа, так и мониторинг состояний систем, обеспечивая выполнение требования ГОСТ о контроле физического доступа и регистрации событий доступа.

AGRG ЦОД, вместо или в дополнение к организационным мерам, поднимает уровень безопасности на качественно новый уровень, минимизируя человеческий фактор и потенциальные ошибки, связанные с ним. В отличие от стандартных организационных мер решение позволяет гибко настраивать параметры безопасности в зависимости от текущих условий и требований, поддерживая масштабируемость по мере расширения дата-центра или изменения его структуры.

Помимо непосредственной защиты от физического доступа AGRG ЦОД способствует реализации комплексного подхода к безопасности путем интеграции с другими системами безопасности, такими как системы видеонаблюдения, средства регистрации и аудита событий, обеспечивая тем самым выполнение целого ряда требований ГОСТа к информационной безопасности.

В условиях постоянно растущего числа угроз и высоких требований к безопасности информации применение решения такого типа, как AGRG ЦОД, представляется не только целесообразным, но и необходимым шагом для защиты критически важной инфраструктуры дата-центров. Это особенно актуально на фоне стремления организаций соответствовать как международным стандартам, так и национальным требованиям в области информационной безопасности.