«Информзащита» проверит банки на стойкость
Как стало известно "Бизнесу", международная платежная система Visa решила проверить все российские банки на соответствие стандартам информационной безопасности. Компании "Информзащита" придется проверить все 1300 банков, 200 процессинговых центров и других партнеров Visa в России. Европейские и американские банки прошли подобную проверку еще в прошлом году, когда стандарт PCI DSS стал обязательным для всех партнеров Visa. Российские компании должны довести свою безопасность до нужного уровня к 2007 году.
В истории платежной системы Visa было несколько случаев кражи информации о клиентах. Одной из самых громких историй стала утечка 40 млн номеров кредитных карт из компании CardSystems Solution.
В результате партнер системы обанкротился и ушел с рынка, а сама Visa была вынуждена долго оправдываться перед своими клиентами. В истории CardSystems Solution кроме Visa пострадали держатели MasterCard и American Express. Столь пристальный интерес к чужим транзакциям вынудил платежные системы вводить дополнительные стандарты безопасности. В итоге в прошлом году стандарт PCI DSS стал обязательным для всех зарубежных компаний, работающих с платежной системой Visa. По информации "Бизнеса", этот же стандарт станет обязательным и для российских партнеров Visa с 2007 года. Проводить аудит информационных систем компаний на предмет соответствия стандарту PCI DSS будет российская компания "Информзащита".
"Эту проверку должны будут пройти все процессинговые центры, платежные шлюзы и интернет-провайдеры, работающие напрямую с VisaNet, а также любой поставщик услуг, обрабатывающий более 1 млн транзакций по Visa в год,- пояснила "Бизнесу" специалист по безопасности компании "Информзащита" Наталья Зосимовская.- Кроме того, стандарт предусматривает ежегодные аудиторские проверки и ежеквартальное сканирование сетей". Финансировать аудит будут сами банки или процессинговые центры, однако стоимость услуг в "Информзащите" не называют.
"Стоимость обследования договорная, так как она зависит от размера и территориальной распределенности подразделений аудируемой компании",- продолжает она.
Директор по информационной безопасности одного из крупных банков оценил "Бизнесу" примерную стоимость возможных затрат. "Комплексный аудит средств ИТ среднего банка обойдется примерно в $100 тыс.",- объяснил он. По его словам, проверку безопасности вполне можно сравнить с полным ИТ-аудитом, ведь нужно проверить все сервисы: "Поэтому она обойдется примерно в ту же сумму". "Если компания действительно проведет дотошную проверку, она не может стоить дешево,- соглашается ИТ-директор Международного промышленного банка Алексей Забродин,- не очень крупному процессинговому центру она обойдется в несколько десятков тысяч долларов". Цена аудита напрямую зависит от размера процессинга и количества сервисов. "Так, например, наш банковский процессинговый центр обслуживает транзакции еще десяти банков",- сообщает он.
Проверка безопасности среднего процессингового центра, по оценкам собеседников "Бизнеса", займет несколько недель. Сама Visa дает на адаптацию к новому для российских банков стандарту около года. "К тому же все процессинговые центры, платежные шлюзы и работающие с Visa провайдеры будут обязаны проходить ежегодный аудит,- добавляет Зосимовская из "Информзащиты",- также будут проверяться компании, обрабатывающие более 6 млн транзакций по Visa в год, и те, кто имел случаи мошенничества, которые привели к компрометации данных". Проходить аудит будут принципиальные члены МПС Visa и крупные процессинговые центры. "Процессингов и принципиальных членов Visa в России около 70-80",- сообщают в "Информзащите". Таким образом, по наиболее оптимистическому прогнозу, контракт принесет "Информзащите" до $8 млн.
АНАСТАСИЯ ГОЛИЦЫНА
Деловая газета "Бизнес"
