ПАРТНЕР РУБРИКИ
Главная » Архив журнала » 2008 год » Журнал ПЛАС №2 (132) » PCI DSS
17 августа 2012, 16:17
Количество просмотров 169

PCI DSS

PCI DSS
Фото:

Директор департамента ау-
дита компании "Информ-
защита"
PCI DSS - рис.1
Ведущий специалист компа-
нии "Информзащита"
Тема требований стандарта PCI DSS, а также вопросы прохождения аудита на соответствие этим требованиям на сегодняшний день являются одними из наиболее обсуждаемых на форумах и конференциях, посвященных обеспечению безопасности в кредитно-финансовой сфере. Поэтому в рамках настоящей статьи мы не только рассмотрим основные теоретические аспекты данного вопроса, но и предложим общие практические рекомендации тем, кто планирует пройти аудит на соответствие требованиям PCI DSS.

 

Подробно:

Читайте также:
Отмена налога на долгосрочные вклады будет стимулировать кредитование
Отмена налога на долгосрочные вклады будет стимулировать кредитование

 

Теория PCI DSS  

PCI DSS

Историческая справка  

Сферы применения PCI DSS  

Процедура аудита  

Этапы аудита:  

  1. Проверка документов и определение зоны контроля. На данном этапе аудиторы анализируют и проверяют пакет необходимой документации клиента – компании, выступающей заказчиком прохождения аудита на соответствие требованиям стандарта PCI DSS. В числе данных документов: схема сети с указанием всех подключений к части сети, в которой производится хранение, обработка или передача данных, содержащих информацию о держателях карт, реестр ресурсов, стандарты и политики, принятые в компании, документированные процедуры и процессы. Зона контроля (Scope) включает в себя:

  • все устройства и сетевые сегменты, в которых производится хранение, обработка или передача данных, содержащих информацию о держателях платежных карт;

  • все сетевые сегменты и устройства, подключенные к этим сегментам (в том числе активное сетевое оборудование).

  • Зона контроля может быть довольно обширной, особенно в том случае, если внутри сеть компании не сегментирована и (в случае, если речь идет о кредитной организации) для отделения процессингового центра от остальной сети банка не используются внутренние межсетевые экраны. Используя специальную методику, аудитор делает репрезентативную выборку (Sampling) тех устройств, которые непосредственно будут подлежать проверке в ходе аудита.
  • Оценка соответствия на месте (On-site audit). После того как решен вопрос с выборкой и завершена проверка необходимых документов, начинается этап On-site audit, т. е. этап проверки реализации требований стандарта PCI DSS непосредственно на месте, т. е. на территории клиента. Аудиторы проверяют реализацию методов защиты и их соответствие требованиям PCI DSS согласно процедурам аудита, насчитывающим более 230 проверок.
  • Подготовка и распространение отчета. После окончания процедуры проверки на месте начинается работа над подготовкой отчета. Если компания соответствует по всем пунктам требованиям стандарта, то в международную платежную систему, с которой она работает, посылается соответствующий отчет (ROC для Visa Int. и COV для MasterCard Worldwide).
  • Подготовка плана по устранению несоответствий. Если в ходе проверки было найдено хотя бы одно несоответствие, проверяемая компания составляет план по устранению несоответствий (action plan). В этом плане должны быть указаны конкретные даты исправления обнаруженных несоответствий, а также те способы и меры, с помощью которых каждое из них планируется исправить.

    • ПРАКТИКА  

    PCI DSSстандарта PCI DSS
    PCI DSS - рис.2
    Диаграмма 1. Среднее количество
    выявленных несоответствий по
    каждому из требований PCI DSS.
    PCI DSS - рис.3
    Диаграмма 2. Доля не применимых
    проверок для различных
    требований стандарта PCI DSS.

    Основные несоответствия и их причины  

    несоответствия тем или иным требованиям стандарта PCI DSS

    Распространённые мифы о PCI DSS  

    1. «Внутренних» злоумышленников не существует. Отчего-то многие до сих пор считают, что все угрозы связаны с действиями «внешних» злоумышленников, и поэтому основные усилия по IT-защите направлены на обеспечение безопасности периметра сети. При этом вопросы защиты ресурсов внутри сети часто вообще не рассматриваются или им не уделяется должного внимания. По статистике, более 70% инцидентов, связанных с информационной безопасностью, происходит по вине инсайдеров.
    2. Треки нужны для претензионной работы и поэтому должны храниться вместе с журналами транзакций. Такой подход противоречит требованиям стандарта PCI DSS, в соответствии с которыми данные треков должны удаляться сразу после процедуры авторизации, т. к. именно эти данные чрезвычайно ценны для злоумышленников, и их компрометация позволяет им впоследствии изготавливать поддельные платежные карты и выполнять мошеннические транзакции.
    3. Данные платежных карт вообще не следует удалять, вдруг они когданибудь кому-нибудь понадобятся. Такой подход сегодня принципиально ошибочен. Если раньше политикой безопасности регламентировались минимальные сроки хранения данных, то теперь стандарт PCI DSS требует, напротив, ограничения максимальных сроков хранения определенных данных, т. е. в компании должна быть реализована задокументированная политика хранения данных, четко определяющая необходимый для поддержания бизнес-процессов период хранения данных и требования к процедурам их последующего уничтожения.
    4. Подключения по выделенным каналам являются защищенными по определению. Многие компании ошибочно полагают, что если они подключат своих клиентов и партнеров по выделенным каналам связи, такое соединение защищать не придется, защищать следует только подключения через Интернет. На самом деле выделенные каналы также требуют защиты, а именно шифрования передаваемых данных и соответствующей настройки VPN и средств межсетевого экранирования.
    5. Cоответствия PCI DSS можно достичь, просто разработав комплект нормативной документации, поскольку на практике аудиторы ограничиваются проверкой документов и интервью с персоналом. Это в корне неверно: помимо вышеперечисленного аудиторы осуществляют также проверку настроек ПО и анализ содержимого файлов и таблиц баз данных, а также проверку соответствия сведений, указанных в предоставленных им документах, реальному положению вещей в компании.

    Проблемные требования стандарта PCI DSS  

    по пунктам:

    • № 11: Необходимо проводить регулярное тестирование систем и процессов обеспечения безопасности.

    • № 2: Необходимо запретить использование параметров безопасности и системных паролей, задаваемых производителями по умолчанию.

    • № 3: Необходимо защищать хранимые данные держателей карт.

    • № 10: Необходимо отслеживать и проводить мониторинг всех попыток доступа к сетевым ресурсам и данным держателей карт.

    • № 8: Необходимо назначать уникальный идентификатор каждому, кто имеет доступ к компьютеру.

    • № 12: Необходимо поддерживать и совершенствовать политику информационной безопасности.
    • № 9: Необходимо ограничивать физический доступ к данным держателей карт.

    • № 4: Необходимо шифровать данные держателей карт при их передаче по открытым, публичным сетям.

    • № 7: Необходимо ограничивать доступ к данным держателей карт по принципу необходимого знания.
    1. Необходимые для обеспечения бизнеспроцессов сетевые протоколы и политики межсетевого экранирования незадокументированы.
    2. Авторизационные данные хранятся в журналах транзакций ATM, POS-терминалов и т.д.
    3. Внутреннее сканирование уязвимостей сетевых устройств не проводится. 4. Не определена политика хранения данных, т.е. нет четкой установки, где и какие данные платежных карт хранить и когда их нужно удалять.
    4. Должным образом не обеспечивается контроль целостности приложений и операционных систем серверов.
    5. Не стандартизированы настройки операционных систем и приложений, в том числе с точки зрения обеспечения безопасности.
    6. Не устанавливаются вообще или устанавливаются несвоевременно обновления безопасности на серверы процессинга, так как для их установки необходимо перезагружать серверы и останавливать работу.
    7. В случае использования ПО собственной разработки последнее ничем не регламентировано, и разработчики всегда поддерживают продукционную систему самостоятельно как наиболее компетентные специалисты.
    8. Парольная политика применяется в основном только в доменах Windows. На Unix-серверах, в базах данных, и к приложениям парольная политика применяется крайне редко.
    9. Регистрация событий не рассматривается как источник информации для мониторинга уровня безопасности и расследования инцидентов.
    10. Обучение рядовых сотрудников в части информационной безопасности обычно ограничивается единственным инструктажем при приеме на работу.

    Текст статьи читайте в журнале  "ПЛАС" 2 (132) ’2008 сс. 12

    Рубрика:
    {}
    Теги:
    #

    PLUSworld в соцсетях:
    telegram
    vk
    dzen
    youtube

    ТАКЖЕ ПО ТЕМЕ

    Сбер договорился об открытии корсчетов в крупнейших банках Бразилии
    Ключевой барьер при внедрении ИИ в российской банковской сфере – дефицит специалистов
    Хакеры начали использовать инновационные решения, построенные на ИИ
    ЦБ РФ заблокировал более 300 сайтов несуществующих банков с начала года
    Сбер договорился об открытии корсчетов в крупнейших банках Бразилии
    Ключевой барьер при внедрении ИИ в российской банковской сфере – дефицит специалистов
    Хакеры начали использовать инновационные решения, построенные на ИИ
    ЦБ РФ заблокировал более 300 сайтов несуществующих банков с начала года