Unser November-Blog-Eintrag zu PCI DSS v4.0: Rollen und Verantwortlichkeiten
Neue Unteranforderung in allen Requirements
In PCI DSS Version 4.0 wurde eine neue Unteranforderung in die Anforderungen 1 bis 11 aufgenommen, die die Notwendigkeit betont, Rollen und Verantwortlichkeiten bei der Ausführung der jeweiligen Anforderung x zu dokumentieren, zuzuweisen und zu verstehen (entsprechende Unteranforderung x.1.2).
Viele Firmen fragen sich, wie solch eine Zuweisung von Rollen und Verantwortlichkeiten aussehen kann. Muss ein neues Dokument erstellt werden? Muss dies firmenübergreifend gelten?
Der PCI DSS lässt die Form der Dokumentation bewusst offen. Das Ziel ist es, dass das Personal sich seiner Verantwortlichkeiten bewusst ist, damit die Aktivitäten zuverlässig durchgeführt werden.
- Fast jedem PCI DSS-Assessor ist es schon mal begegnet, dass Schwachstellenscans nicht pünktlich jedes Vierteljahr durchgeführt wurden, weil es einfach übersehen wurde – hier hilft eine klar zugewiesene Verantwortlichkeit für die Einhaltung des Vierteljahres-Rhythmus.
- Fast jeder PCI DSS-Assessorin ist schon einmal Kassenpersonal begegnet, dem nicht bewusst war, dass sie Zahlterminals auf Verdacht auf Manipulation oder Austausch überprüfen müssen. Auch diese Verantwortlichkeit sollte klar benannt werden – ebenso die der Rolle, die das Kassenpersonal dafür schult.
Wie kann die Zuweisung der Verantwortlichkeiten also praktisch aussehen?
Nutzung bestehender Dokumentation
In vielen Firmen sind bereits Rollen und Verantwortlichkeiten in bestehenden Richtlinien und Verfahrensanweisungen enthalten.
- Ist bspw. in der Softwareentwicklungsrichtlinie bereits enthalten, wer den Code entwickelt, wer den Code-Review durchführt, wer Tests durchführt und wer die Freigabe für den Rollout als Teil des Prozesses gibt? Und ist in Interviews allen Beteiligten diese Rollenzuweisung klar? Dann muss hier im Bereich Softwareentwicklung nichts mehr ergänzt werden.
Ist aber noch keine derartige Dokumentation vorhanden, sollte sie erstellt werden. Ob die Zuweisung dabei im bestehenden Dokument ergänzt wird, oder ab man ein zusätzliches Dokument erstellt, ist dabei unerheblich.
Form der Darstellung
Auch die Form der Darstellung ist frei wählbar. Natürlich bietet sich eine RACI-Matrix oder eine Variante davon an. Aber auch andere Tabellen, Listen oder Fließtexte können den Zweck erfüllen.
Bei großen Teams mit gleichartigen Aufgaben reicht dabei oft eine Zuweisung wie „das Personal ist für die Durchführung von Aktivität X zuständig, der Teamleiter ist für die Schulung des Personals bei Einstellung, bei Aufgabenwechsel und im jährlichen Rhythmus sowie für die Freigabe der Ergebnisse zuständig“ – bei durchmischten Teams mit vielfältigen Aufgaben muss die Zuweisung ggf. bis auf einzelne Personen runtergebrochen werden.
Anlehnung an die operative Umsetzung
Bleiben Sie nicht zu nah an der Requirement-Aufteilung des PCI DSS – übersetzen Sie, wie Sie die Einhaltung sicherheitsrelevanter Prozesse in Ihrem eigenen operativen Geschäft umsetzen. Häufig sind an der Umsetzung einer Anforderung mehrere Rollen beteiligt – eine schreibt ggf. die Regeln auf, eine andere Rolle hält die Regeln bei der Umsetzung ein, wieder eine andere Rolle macht einen Review und/oder eine Freigabe des Umgesetzten. Wenn Sie die Schritte aufschreiben, wie Sie etwas durchführen, lässt sich gut zuordnen, wer für die jeweilige Tätigkeit zuständig ist.
Akzeptanz der Verantwortlichkeit
Die Zuweisung sollte natürlich nicht nur dokumentiert sein, sondern den Personen auch bekannt sein. Entsprechend sollte ein neues oder angepasstes Dokument im Kreis der Betroffenen vorgestellt werden.
Müssen die Personen unterschreiben, dass Ihnen ihre Verantwortung bewusst ist? In einer anderen Anforderung des PCI DSS v4.0, Anforderung 12.1.3, wird tatsächlich eine schriftliche Anerkennung der allgemeinen Verantwortung für die Informationssicherheit gefordert. Eine entsprechende dokumentierte Anerkennung der spezifischen Verantwortlichkeiten der jeweiligen Rolle wird in Anforderung x.1.2 nicht zwingend gefordert – man kann diese beiden Punkte, wenn man möchte, aber natürlich miteinander verbinden, indem man nicht nur eine generische, sondern auch rollenspezifische Verantwortlichkeiten abzeichnen lässt. Diese Kombination ist jedoch nicht vorgeschrieben.
Zusammenfassung
Was sollte also am Ende der Überlegungen mindestens stehen?
- Die Dokumentation der Rollen und Verantwortlichkeiten für die verschiedenen Aufgaben im operativen Geschäft bei der Absicherung der Arbeit mit Zahlkartendaten, und
- Personal, das sich seiner Rollen, Verantwortlichkeiten und Aufgaben bewusst ist und dies in Interviews bestätigen kann.
Auf diese Weise sollte die Einhaltung der Unteranforderungen x.1.2 machbar sein.