Analyse: Details zu Risikobewertungen im Rahmen von PCI DSS

Anhand des PCI Data Security Standard (PCI DSS) können Händler überprüfen, ob ihre Risikobewertungen für den Bezahlkartenbereich den Sicherheitsanforderungen entsprechen.

Dieser Artikel behandelt

PCI-Standards

Der Payment Card Industry Security Standards Council (PCI SSC) in den USA hat vor kurzem das PDF-Dokument DSS Risk Assessment Information Supplement veröffentlicht. Dieses enthält zusätzliche Hinweise für Händler, die den Anforderungen an Risikobewertungen im Rahmen des Sicherheitsstandards 12.1.2 für den Bezahlkarten-Bereich entsprechen wollen.

Wie bei allen Empfehlungen des Council ist es auch hier ratsam, diesem Format zu folgen – vielleicht sogar die einzelnen Abschnitte genauso zu bezeichnen.

Diese Richtlinien sind zwar nicht offiziell bindend, doch Händler können davon ausgehen, dass die Qualified Security Assessors (QSAs) darauf Bezug nehmen, wenn sie beurteilen, ob ihre Prozesse den Anforderungen von PCI DSS entsprechen. In diesem Artikel beschreiben wir deshalb die Informationen aus dem Ergänzungsdokument und erklären, wie sie sich in ein Compliance-Programm für Unternehmen integrieren lassen.

Inhalt des PCI-Supplements zu Risikobewertung

Schon seit der Erstveröffentlichung von PCI DSS sind Händler dazu angehalten, Risikobewertungen vorzunehmen. Konkret schreibt die Anforderung 12.1.1 vor, dass Sicherheitsprogramme von Organisationen „einen jährlichen Prozess vorsehen, in dem Bedrohungen und Schwachstellen identifiziert werden und der die Grundlage für eine formale Risikobewertung bildet“. Als Beispiele für Methoden zur Risikobewertung nennt der Standard OCTAVE, ISO 27005 und NIST SP 800-30, er gibt aber kein bestimmtes Verfahren dafür vor.

Die jetzt veröffentlichten Richtlinien nennen dieselben drei Methoden zur Risikobewertung wie PCI DSS und erklären zusätzlich, dass auch andere Rahmenwerke dafür genutzt werden dürfen, etwa Factor Analysis of Information Risk und der australisch/neuseeländische Standard AS/NZ 4360. Anschließend werden einige Kern-Aktivitäten aufgeführt, die Teil jeder Risikobewertung sein sollten:

  1. Auflisten aller kritischen Informationsassets der Organisation
  2. Identifizieren von Bedrohungen für diese Assets
  3. Identifizieren von Schwachstellen, die in Kombination mit einer Bedrohung ein Risiko für die Organisation bedeuten können
  4. Entwickeln von Strategien zum Risiko-Management für jedes der in der Bewertung identifizierten Risiken.

Jeder Prozess, der diese Kern-Elemente vorsieht, sollte mit Leichtigkeit die Überprüfung durch einen Auditor bestehen. Händler können also frei einen Ansatz zur Risikobewertung wählen, der gut zu ihren geschäftlichen Anforderungen und ihrer Unternehmenskultur passt.

Risikobewertungen dokumentieren

Die Richtlinien empfehlen nur, dass das Ergebnis der Risikobewertung ein formaler Bericht  in Schriftform sein sollte. Allerdings sieht das PCI-Auditverfahren vor, dass die QSAs „die Richtlinien zur Risikobewertung überprüfen, um zu verifizieren, dass der Prozess der Risikobewertung mindestens jährlich durchlaufen wird“. Insofern ist die Empfehlung in Wirklichkeit eher eine Vorgabe. Compliance-Profis sollten dabei denjenigen Elementen am meisten Aufmerksamkeit schenken, die laut dem Council in dem Bericht enthalten sein sollten:

  1. Umfang der Risikobewertung
  2. Inventar der Assets
  3. Bedrohungen
  4. Schwachstellen
  5. Risiko-Evaluierung
  6. Risiko-Behandlung
  7. Versionshistorie
  8. Zusammenfassung

Wie bei allen Empfehlungen des Council ist es auch hier ratsam, diesem Format zu folgen – vielleicht sogar die einzelnen Abschnitte genauso zu bezeichnen. Kein Auditor kann sagen, dass in dem Bericht bestimmte Elemente fehlen, wenn darin den Empfehlungen fast wörtlich gefolgt wird.

Integration der Richtlinien in ein Compliance-Programm

In vielen Organisationen gibt es bereits formale Prozesse zur Risikobewertung, die wegen Corporate Governance oder anderen Geschäftspraktiken erforderlich sind. PCI DSS verlangt hier nicht, dass Unternehmen das Rad neu erfinden oder einen speziellen Prozess nur für die eigenen Anforderungen durchlaufen. Stattdessen geben die Richtlinien eine gewisse Flexibilität. Wenn eine Organisation bereits Risikobewertungen vornimmt, muss sie deshalb nur dafür sorgen, dass darin auch Risiken im Zusammenhang mit Kreditkarten berücksichtigt sind und er die Anforderungen an die Dokumentation erfüllt.

Dazu allerdings eine kleine Warnung für diejenigen, die glauben, sich mit dem Prozess der Risikobewertung Arbeit ersparen zu können: Wie die Richtlinien erklären, darf der Prozess nicht dafür genutzt werden, Sicherheitsanforderungen von PCI DSS zu vermeiden oder den Prozess für ausgleichende Maßnahmen zu umgehen. Denn anders als andere Gesetze und Regulierungsvorgaben (wie die Security Rule des HIPAA-Gesetzes) enthält PCI DSS keine Anforderungen, die automatisch ignoriert werden dürfen, wenn die Risikobewertung ergibt, dass sie unnötig sind. Organisationen, die von einer oder mehr Anforderungen ausgenommen werden wollen, müssen also weiterhin das formale Verfahren für die Genehmigung von Ausgleichsmaßnahmen durchlaufen.

Insgesamt gesehen bringen die neuen Richtlinien zur Risikobewertung keine neuen Pflichten für Händler, die PCI DSS erfüllen wollen. Stattdessen geben sie mehr Klarheit über die bestehenden Anforderungen und nennen mehrere eindeutig dokumentierte Optionen, wie Händler ihren Verpflichtungen zur Risikobewertung flexibel so nachkommen können, dass auch geschäftliche Belange berücksichtigt werden.

Über den Autor: Mike Chapple, Ph.D., CISA, CISSP, ist IT-Sicherheitsmanager an der University of Notre Dame. Zuvor hat er bei der National Security Agency und der U.S. Air Force im Bereich Informationssicherheit geforscht. Chapple schreibt regelmäßig Artikel für SearchSecurity.com, wo er auch als ständiger Experte für Compliance, Frameworks und Standards tätig ist. Außerdem ist er technischer Redakteur für das Magazin Information Security und Autor mehrere Bücher über Informationssicherheit, darunter CISSP Study Guide und Information Security Illuminated.

Artikel wurde zuletzt im Juni 2013 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über PCI-Datensicherheitsstandards

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close