Как известно за последнее время основные изменения, которые происходили в стандарте PCI DSS касались уточнения формулировок, т.к. некоторые фразы в стандарте допускали слишком широкое толкование (эх... наши бы документы по защите ПДн кто бы так выверял...но сейчас не об этом...).
Текущая версия стандарта, PCI DSS 2.0, была принята в октябре 2010 г. и вот буквально недавно с небольшим интервалом вышли 2 перевода данного стандарта на русский язык.
Один перевод был сделан Информзащитой и доступен
по этой ссылке.
Второй перевод был подготовлен сообществом PCIDSS.ru и доступен
здесь.
Я ознакомился с этими документами и вот некоторые вещи, которые бросились мне в глаза:
1) п. 1.1.1 в оригинале звучит так:
A formal process for approving and testing all network connections and changes to the firewall and router configurationsПеревод от Информзащиты:
Формализованный процесс утверждения и тестирования всех сетевых подключений, а также изменений, вносимых в конфигурацию МЭ и маршрутизаторов.тут вроде все ок.
Перевод PCIDSS.ru:
Формальный процесс утверждения и тестирования всех внешних соединений и изменений в конфигурациях межсетевых экранов и маршрутизаторов.а вот тут уже почему-то появилось "внешних соединений"
2) п.2.2.1 в оригинале звучит так:
Implement only one primary function per server to prevent functions that require different security levels from co-existing on the same server. (For example, web servers, database servers, and DNS should be implemented on separate servers.)Перевод от Информзащиты:
На каждом сервере должна быть реализована только одна основная функция, чтобы предотвратить одновременную работу функций, требующих разных уровней безопасности, на одном и том же сервере. (В частности, веб-серверы, серверы базы данных, DNS-серверы должны работать на разных физических серверах.).Здесь почему-то появилось "на разных физических серверах", хотя в оригинале слова "физических" нет.
Перевод от PCIDSS.ru:
Для каждого сервера должна быть внедрена одна основная функция для недопущения нахождения на одном и том же сервере функций, требующих различные уровни защиты (например, веб-серверы, серверы СУБД и DNS-серверы следует размещать на разных компьютерах).А здесь используется слово "компьютерах", также неточно отражающее оригинальное требование.
3) п.3.5.2 в оригинале звучит так:
Store cryptographic keys securely in the fewest possible locations and forms.Перевод от Информзащиты:
Ключи должны находиться в минимальном наборе защищенных хранилищ.Ничего не сказано про формы ключей как в оригинале.
Перевод от PCIDSS.ru:
Ключи должны храниться только в строго определенных защищенных хранилищах и строго определенном виде.А здесь говорится про строго определенное количество хранилищ, а не минимально возможное (как в оригинале).
4) п. 6.1 в оригинале звучит так:
Ensure that all system components and software are protected from known vulnerabilities by having the latest vendor-supplied security patches installed. Install critical security patches within one month of release.Перевод от Информзащиты:
Для всех системных компонентов и программного обеспечения должны быть установлены последние обновления системы безопасности, предоставленные производителями. Критичные обновления системы безопасности должны быть установлены в течение 1 месяца с момента их выпуска.Применяется термин "обновления системы безопасности". Что это за система безопасности ? в оригинале смысл иной
Перевод от PCIDSS.ru:
На все системные компоненты и программное обеспечение должны быть установлены самые свежие обновления безопасности, выпущенные производителем. Критичные обновления безопасности должны быть установлены в течение месяца с момента их выпуска производителем.Вот это уже похоже на оригинал.
5) п. 6.4.1 в оригинале звучит так:
Separate development/test and production environmentsПеревод от Информзащиты:
Должны быть разделены среды разработки и тестирования и среда эксплуатации Похоже на оригинал
Перевод от PCIDSS.ru:
Среды разработки, тестирования и производственного функционирования программного обеспечения должны быть отделены друг от друга.А вот из этого перевода можно решить, что все три среды должны быть отделены друг от друга, что в оригинале не подразумевалось.
6) п. 6.6 в оригинале звучит так:
...<текст пропущен>.. Installing a web-application firewall in front of public-facing web applicationsПеревод от Информзащиты:
Установка межсетевого экрана для защиты общедоступных веб-приложенийНаверное можно долго дискутировать, но все же Web Application Firewall и межсетевой экран это разные вещи и такая трактовка может вести к ошибкам.
Перевод от PCIDSS.ru:
Установить межсетевой экран прикладного уровня перед веб-ориентированными приложениями.Вот это уже больше похоже на правду
7) п. 9.4 в оригинале звучит так:
Use a visitor log to maintain a physical audit trail of visitor activity. Document the visitor’s name, the firm represented, and the onsite personnel authorizing physical access on the log. Retain this log for a minimum of three months, unless otherwise restricted by law.Перевод от Информзащиты:
Должен вестись журнал регистрации посетителей с целью хранения записей о них. В него необходимо записывать имя посетителя, название компании, которую он представляет, и имя сотрудника, разрешившего физический доступ. Данные видеонаблюдения должны храниться по крайней мере в течение 3 месяцев, если это не противоречит законодательству.А при чем тут "видеонаблюдение" ? Видимо это просто ошибочный копи-паст
Перевод от PCIDSS.ru:
Следует вести журнал учета посетителей и использовать его для анализа посещений. В журнале следует регистрировать имя посетителя, организацию, которую он представляет, а также сотрудника организации, разрешившего доступ посетителю. Этот журнал следует хранить не менее трех месяцев, если иной срок не предписан законодательством.Тут вроде все нормально
8) п. 10.4 в оригинале звучит так:
Using time-synchronization technology, synchronize all critical system clocks and times and ensure that the following is implemented for acquiring, distributing, and storing time.Перевод от Информзащиты:
Должна выполняться синхронизация часов и таймеров на всех критичных системах. Убедитесь, что следующие ниже меры внедрены для приобретения, распределения и хранения данных о времени.Перевод от PCIDSS.ru:
Необходимо использовать технологию синхронизации времени. Все системные часы и системное время на критичных системах должны быть синхронизированы, Необходимо убедиться в исполнении данного требования для получения, распространения и хранения данных о времени.Позабавил перевод Информзащиты в части приобретения данных о времени, не знал что время можно приобрести :).
Данная заметка конечно не претендует на полноту анализа, указанные вещи - это первое что бросилось в глаза, думаю в тексте еще очень много подобных вещей. В целом подводя итоги могу сказать, что если вы владете английским языком, то я настоятельно советую сверяться с оригиналом, т.к неточности в переводах присутствуют, а дьявол как известно в деталях !
Также не смотря на мою критику, считаю что Информзащита и сообщество PCIDSS.ru сделали большую и важную работу выпустив переводы стандарта на русский язык, за что их безусловно стоит поблагодарить!