Разработка программы для прохождения аудита на соответствие двум стандартам информационной безопасности для российских и международных платежных систем

Актуальность

На сегодняшний день все кредитно-финансовые организации, будь то банки, платежные системы или операторы платежной инфраструктуры, должны соответствовать стандартам по информационной безопасности. Учитывая, что сегодняшний рынок не ограничивается только российскими участниками, а наоборот, на нем широко представлены зарубежные игроки, для формирования единого подхода было решено создать стандарты по обеспечению информационной безопасности: Российский 382-П (Положение Банка России от 9 июня 2012 г. № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля над соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств») и международный PCI DSS (Requirements and Security Assessment Procedures Version 3.2.1 May 2018 Стандарт безопасности данных индустрии платежных карт). Для проектной деятельности были выбраны именно эти два стандарта, так как все игроки на российском рынке должны им соответствовать, они на 70 % совпадают, поэтому при подготовке приходится проводить двойную работу.

Цель

Создание программы, позволяющей автоматизировать процесс проведения самооценки в части соответствия стандартам по информационной безопасности в кредитно-финансовой сфере.

Задачи

1. Провести анализ требований двух стандартов и сформировать списки требований по каждому стандарту, а также общий список для прохождения аудита одновременно по двум стандартам.
2. Написать программу, позволяющую пройти аудит на соответствие требованиям ИБ сразу по двум стандартам.

Оснащение и оборудование, использованное при создании работы

• Персональный компьютер с установленным ПО (Microsoft Exсel, Qt Designer, Python версии 3.8, JetBrains PyCharm Community Edition, набор расширений PyQt5, PyInstaller)
• Мобильный телефон

Описание

Для решения первой задачи автором была создана таблица в Excel, в которой было проведено сравнение 382-П и PCI DSS и выявлены совпадающие и различающиеся пункты. Далее для совпадающих пунктов были созданы общие формулировки. Вопросы формулировались понятно и лаконично, чтобы заключать смысл обоих требований. За основу в таком случае бралось требование, которое включало в себя больше пунктов по отношению к другому и, как следствие, перекрывало требования другого нормативного акта.

После того как работа с выявлением одинаковых (похожих) требований была закончена, автор приступил ко второму шагу – к формированию списков требований по каждому аудиту (отдельно PCI DSS, отдельно 382-П), и совместный аудит сразу по обоим стандартам.

После формирования списков автор перешёл ко второму этапу своей работы – к созданию самой программы.

Для создания интерфейса программы использовался Qt Designer.

Так как программа имеет три разные возможности подготовки к аудиту (отдельно 382-П и PCI DSS, а также общий режим, в котором пользователь может проверить себя на соответствие сразу двум нормативным актам), потребовалось создать 5 окон программы. На каждое окно автором были добавлены необходимые кнопки, флажки, текстовые поля, прокрутка и пр. Всем элементам заданы уникальные названия для последующего обращения, введены функции и переменные, заданы основные алгоритмы.

Логика программы следующая: после запуска программы появляется стартовое окно, содержащее 3 кнопки, каждая кнопка соответствует аудиту. Нажатие на любую из кнопок ведет к закрытию стартового окна, вызову на его месте нового окна и формированию с помощью функции списка из боксов для отметок (флажков) и текстовых полей с формулировкой пункта выбранного аудита.

По мере прохождения аудита пользователь отмечает выполненные пункты. Так как пунктов довольно много, перемещение вниз и вверх по списку осуществляется с помощью специально встроенной прокрутки.

С помощью набора расширений PyQt5 автор подключил к программе пять файлов графического интерфейса. Далее в программу были внесены данные из всех трех списков для аудита, каждому пункту соответствует отдельная переменная, построение списка пунктов для каждого из трех аудитов описывается соответствующими функциями.

С помощью Pyinstaller автор объединил основной файл программы с алгоритмами и данными и файлы графического интерфейса в единый исполняемый EXE-файл. Запуск программы и первое прохождение прошли успешно. При переносе файла на другое устройство программа запустилась и работала.

В ходе работы проведен анализ и сравнение двух стандартов информационной безопасности платежных систем: российского 383-П и международного стандарта PCI DSS. На основании анализа созданы списки для проверки соответствия организации требованиям данных стандартов.

Полученные списки были использованы при создании программы-приложения, позволяющей облегчить процедуру прохождения аудита в рамках текущей деятельности или подготовку к прохождению аудита финансовой и хозяйственно-экономической деятельности учреждения.

Результаты работы/выводы

Разработанное программное обеспечение будет одинаково полезно как сотрудникам информационной безопасности подразделений кредитно-финансовой сферы, так и аудиторам, осуществляющим проверку требований по информационной безопасности соответствующих стандартов, так как оно позволяет самостоятельно провести аудит внутренней инфраструктуры на соответствие требованиям регулятора и оперативно устранить выявленные замечания перед основной проверкой.

В ходе работы проведен анализ и сравнение двух стандартов информационной безопасности платежных систем: российского 383-П и международного стандарта PCI DSS. На основании анализа созданы списки для проверки соответствия организации требованиям данных стандартов.

Полученные списки были использованы при создании программы-приложения, позволяющей облегчить процедуру прохождения аудита в рамках текущей деятельности или подготовку к прохождению аудита финансовой и хозяйственно-экономической деятельности учреждения.

Перспективы использования результатов работы

Данное программное обеспечение успешно используется сотрудниками компании АО «НСПК» (Национальная система платежных карт), а также будет дополняться новыми стандартами ИБ

Сотрудничество с вузом/учреждением при создании работы

АО «НСПК»

Мнение автора

«Так как секция «Информационные технологии, программирование, прикладная математика, социальный инжиниринг», в которой я презентовала свою работу, имеет достаточно широкий профиль, в будущем было бы интересно увидеть секцию, посвященную только информационной безопасности/прикладному программированию, или деление секции по теме «Информационные технологии, программирование, прикладная математика, социальный инжиниринг» на более узконаправленные секции для удобства участников и членов жюри»