Post on 16-Jun-2015
description
Бабенко Алексейстарший аудитор
описаниеприменение соответствие
«Информационная безопасность 2011: противодействие внешним и внутренним угрозам»г. Алмата, 18 марта 2011 года, отель Intercontinental
PCI DSS
О чем пойдет речь?
• DSS для PCI• Основные требования стандарта• Внутренняя кухня DSS• Путь к соответствию за 10 шагов• Сопутствующие стандарты
История возникновения
1970 1980 1990 2000
Старт программ CISP/AIS/SDP
2010
Стандарт PCI DSS
1.2 2.01.0 1.1 new
08060401 1366
Первая сеть VISA ATM
83
$ 300 млн. мошеннических
транзакций
$ 36 млн. мошеннических
транзакций
$ 5 550 млн. мошеннических
транзакций
1 млд. карт Visa и MasterCard
Область применения стандарта
• PCI DSS применим к любой организации, которая хранит, передает или обрабатывает данные платежных карт
Поставщики услуг Levels 1-2
Соответствие контролируется платежными системами
Члены платежных
систем
Сервис-провайдеры
Торговое сервисные организации Levels 1-4
Соответствие контролируется банками-эквайерами
Магазины и торговые сети
Интернет-магазины
Безопасность данных платежных карт
Элемент данных Хранениеразрешено
Требуется защита PCI DSS 3.4
Данные платежных карт(сardholder data)
Номер карты (PAN) Да Да Да
Имя держателя карты(Cardholder Name) Да Да Нет
Сервисный код (Service Code) Да Да Нет
Дата истечения срока действия (Expiration Date) Да Да Нет
Критичные данные авторизации(sensitiveauthentication data)
Полное содержание магнитной полосы(Full Magnetic Stripe)
Нет - -
CVC2/CVV2/CID Нет - -
PIN / PIN Block Нет - -
Требования стандарта (1 из 2)
• Обеспечение разработки и управления конфигурацией межсетевых экранов
• Изменение параметров безопасности и системных паролей, установленных по умолчанию
Построение и поддержание защищенной сети
• Обеспечение защиты данных платежных карт при хранении• Обеспечение шифрования данных платежных карт при передаче по
общедоступным сетям
Защита данных платежных карт
• Использование и регулярное обновление антивирусного ПО• Обеспечение безопасности при разработки и поддержке систем и
приложений
Реализация программы управления уязвимостями
Требования стандарта (2 из 2)
• Ограничение доступа к данным платежных карт в соответствии со служебной необходимостью
• Назначение уникальных идентификаторов лицам, имеющим доступ к вычислительным ресурсам, парольная политика
• Ограничение физического доступа к данным платежных карт
Реализация мер по строгому контролю доступа
• Отслеживание и контроль любого доступа к сетевым ресурсам и данным платежных карт
• Выполнение регулярного тестирования систем и процессов обеспечения безопасности
Регулярный мониторинг и тестирование сетей
• Поддержка и актуализация политик информационной безопасности, регламентирующих деятельность сотрудников и контрагентов
Поддержание политики информационной безопасности
Область проверки стандарта
Авторизация, клиринг/сеттлмент
Мониторинг мошеннических
транзакций, разрешение диспутов
Поддержка клиентов (call-центр)
Аналитика и статистика по транзакциям
Основные изменения 1.2 → 2.0
• Новых глобальных требований не добавилось• Уточнен ряд требований, детализация и
упрощение восприятия процедур• Изменились требования к процедуре
определения области оценки (scoping)• Усложнение требований 6.2, 6.5.6, 11.2• Вступают в силу с 1 января 2011 года,
возможно проведение аудита по версии 1.2 конца 2011 года
Разработка и контроль применения
QSA ASV
PCI SSC МПС
Ответственность PCI SSC QSA ASV
PCI SSC МПС
• Разработка и публикация стандартов PCI• Определение требований к QSA, PA-QSA и
ASV• Аккредитация компаний и публикация
списков QSA, PA-QSA и ASV• Обучение и сертификация сотрудников QSA,
PA-QSA• Контроль качества работ проводимых QSA,
PA-QSA и ASV
Ответственность QSA QSA ASV
PCI SSC МПС
• Проведение аудитов в соответствии с утвержденными процедурами
• Обеспечение поддержки и консультации по выполнению требований до полного соответствия
• Интерпретация требований стандарта и адекватности компенсационных мер
• Предоставление отчетности в платежные системы и PCI SSC
Ответственность МПС QSA ASV
PCI SSC МПС
• Утверждение требований к Компаниям QSA, PA-QSA и ASV в составе PCI SSC
• Определение способов подтверждения соответствия PCI DSS
• Определения границ области проверки соответствия
• Штрафы за невыполнение требований
Путь к соответствию
Область применения GAP-анализ Построение плана Доработка
документов
Технические мерыОрганизационные меры
Внешнее сканированиеПен-тест
Аудит Поддержка соответствия
Область применения
GAP-анализ Построение плана
Доработка документов
Технические меры
Организационные меры
Внешнее сканировани
еПен-тест Аудит Поддержка
соответствия
• Реестр хранения данных карт (матрица данных)
• Ресурсы, участвующие в передаче, обработке, хранении данных карт
• Логическое и физическое размещение ресурсов
• Dataflow• Наличие и механизмы сегментации и
экранирования• Использование беспроводных технологий
Область применения
GAP-анализ
Построение плана
Доработка документов
Технические меры
Организационные меры
Внешнее сканировани
еПен-тест Аудит Поддержка
соответствия
• Анализируются процессы управления ИТ и безопасностью, а не текущие настройки систем
• Выявляются несоответствия стандарту• По результатам — Action plan– Согласованы решения и компенсационные
меры– Выбраны технические средства– Одна работа – один ответственный– Приоритет работ с учетом рисков ИБ
Область применения GAP-анализ Построение плана
Доработка документов
Технические меры
Организационные меры
Внешнее сканирование Пен-тест Аудит Поддержка
соответствия
• Иерархия документов: от политики до процедур и инструкций
• Не разработка «в стол», а разработка и документирование процессов
• Определение порядка изменения документов
Область применения GAP-анализ Построение плана
Доработка документов
Технические меры
Организационные меры
Внешнее сканирование Пен-тест Аудит Поддержка
соответствия
• Использование встроенных защитных механизмов
• Настройка существующих внешних средств защиты
• Внедрение программно-технических средств:– «Необходимо» или «полезно»– Перекрывание защитных механизмов– Простота эксплуатации– Возможность масштабирования
Область применения GAP-анализ Построение плана
Доработка документов
Технические меры
Организационные меры
Внешнее сканировани
еПен-тест Аудит Поддержка
соответствия
• Контролируемость выбранного решения
• Простота исполнения процедур• Наличие «обратной связи» процесса• Совершенствование и доработка
процедур/регламентов, корректировка мер
Область применения GAP-анализ Построение
планаДоработка
документовТехнически
е меры
Организационные меры
Внешнее сканирование Пен-тест Аудит
Поддержка соответстви
я
• Проводится после внедрения основных мер
• Внешнее сканирование проводит PCI ASV
• Тестирование защищенности выявляет основные недоработки в реализации мер или зоне их охвата
• Повторение при отрицательном результате
Область применения GAP-анализ Построение плана
Доработка документов
Технические меры
Организационные меры
Внешнее сканирование Пен-тест Аудит Поддержка
соответствия
• Процедуры аудита определены PCI SSC
• Область аудита может быть меньше чем PCI DSS Scope
• Аудит проводится с применением «выборки» ресурсов, помещений, людей
• Является «снимком» состояния на момент проведения аудита
Область применения GAP-анализ Построение плана
Доработка документов
Технические меры
Организационные меры
Внешнее сканирование Пен-тест Аудит
Поддержка соответствия
• PCI Compliance не «вечный двигатель», безопасность это процесс
• Контрольные процедуры:– Заложенные стандартом (определены
периодичность и методы контроля)– Внутренние
• Изменение инфраструктуры и угроз ИБ
Сопутствующие стандарты
PCI PEDПроизводители оборудования
PCI PA-DSS
Разработчики ПО
PCI DSSМерчанты и процессоры
Payment Application DSS
• Область применения - любое тиражируемое платежное приложение, используемое для авторизации или клиринга/сеттлмента
• Необходима сертификация:– POS терминалы, банкоматы, – киоски для оплаты,– системы процессинга и пр.
• Сертификация не нужна– Приложения собственной разработки для или приложения
на заказ– Отдельно стоящие POS терминалы– СУБД– Операционные системы– Web серверы
PIN Entry Devices
• Цель PCI PED — защита чувствительной информации (резидентных ключей, PIN кодов пластиковой карты и др.) устройствами принимающими PIN
• Программа тестирования и утверждения устройств отражает:– требования безопасности к устройствам;– методология тестирования;– процесс сертификации и утверждения.
Бабенко Алексей старший аудитор
a.babenko@infosec.ru+7 (495) 980-23-45 доп.458 www.infosec.ru
Вопросы