Google+
Журнал Плас Плас Журнал http://www.plusworld.ru/
ул. Кржижановского, д. 29, корп. 5 Москва, 117218 Россия
+7 495 961 1065 http://www.plusworld.ru/upload/templates/logo_plus_ru.png
RSS RSS RSS RSS

PCI DSS

(Нет голосов)

13.03.2008 Количество просмотров 3216 просмотров
Максим Эмм
Директор департамента ау-
дита компании "Информ-
защита"
Наталья Зосимовская
Ведущий специалист компа-
нии "Информзащита"
Тема требований стандарта PCI DSS, а также вопросы прохождения аудита на соответствие этим требованиям на сегодняшний день являются одними из наиболее обсуждаемых на форумах и конференциях, посвященных обеспечению безопасности в кредитно-финансовой сфере. Поэтому в рамках настоящей статьи мы не только рассмотрим основные теоретические аспекты данного вопроса, но и предложим общие практические рекомендации тем, кто планирует пройти аудит на соответствие требованиям PCI DSS.

 

Подробно:

 

Теория PCI DSS  

О стандарте PCI DSS было сказано и написано уже многое, его требования размещены в открытом доступе (например, по адресу: www.pcisecuritystandards.org), и с ними может подробно ознакомиться каждое заинтересованное лицо. Исходя из этого, в первой части статьи мы коротко остановимся лишь на некоторой ключевой информации, касающейся целей внедрения стандарта PCI DSS и сфер его применения.

Историческая справка  

В последние годы по всему миру участились случаи взлома банковских информационных систем, сопровождавшиеся компрометацией данных держателей карт с последующим использованием полученной информации для совершения мошенничества. Подобная тенденция послужила одной из главных причин, побудивших международные платежные системы объединить свои усилия и принять дополнительные меры для защиты своих клиентов.

С этой целью в 2004г. был разработан единый набор требований к безопасности данных – Payment Card Industry Data Security Standard, объединивший в себе требования ряда программ по безопасности таких платежных систем как Visa, MasterCard, American Express, Discover Card и JCB. Впоследствии для развития и продвижения стандарта PCI DSS в сентябре 2006г. был создан специальный Совет по стандартам безопасности – PCI Security Standards Council, в который вошли представители данных платежных систем. Изначально международные платежные системы требовали от своих участников и торгово-сервисных предприятий обеспечить соответствие стандарту на территории США и Западной Европы, применяя штрафные санкции за невыполнение данных требований.

 Для других регионов требования PCI DSS были также обязательны, но никаких санкций за их невыполнение предусмотрено не было. Однако с сентября 2006 года Visa Int. объявила, что за непрохождение аудита по стандарту PCI DSS торгово-сервисными предприятиями (merchants) и поставщиками услуг (service providers – процессинговые центры, платежные шлюзы, Интернет-провайдеры), работающими с Visa Int. на территории стран региона CEMEA, к которым относится, в том числе, и Россия, будут взиматься штрафы. Собственно, именно это и послужило стимулом к внедрению стандарта российскими банками.

Сферы применения PCI DSS  

Действие PCI DSS распространяется на все торгово-сервисные предприятия и поставщиков услуг, работающих с международными платежными системами, т.е. на всех тех, кто передает, обрабатывает и хранит данные держателей карт. Сейчас актуальна версия стандарта PCI Data Security Standard v. 1.1, основные отличия которой от предыдущей касаются конкретизации и расширения некоторых требований. В таблице 1 приведены различные типы данных и требования к обеспечению их безопасности, которые выдвигает PCI DSS.

Также в зависимости от количества обрабатываемых транзакций каждой компании присваивается определенный уровень с соответствующим набором требований, которые должны выполняться для подтверждения соответствия стандарту. Процедуры подтверждения соответствия могут включать в себя ежегодное прохождение аудита, ежеквартальные сканирования сети или ежегодное заполнение листа самооценки (Self Assessment Questionnaire – специальная анкета, разработанная PCI SSC для самооценки компаний).

 Нужно отметить, что для выполнения аудита и ежеквартальных сканирований своих сетей компании должны привлекать стороннюю организацию, имеющую статус Qualified Security Assessor (для проведения аудита) или Approved Scanning Vendor (для проведения сканирования сети). Данные статусы присваиваются Советом по стандартам безопасности.

Процедура аудита  

В рамках аудита реализуется несколько последовательных этапов, различающихся по своей трудоемкости и длительности.

Этапы аудита:  

  1. Проверка документов и определение зоны контроля. На данном этапе аудиторы анализируют и проверяют пакет необходимой документации клиента – компании, выступающей заказчиком прохождения аудита на соответствие требованиям стандарта PCI DSS. В числе данных документов: схема сети с указанием всех подключений к части сети, в которой производится хранение, обработка или передача данных, содержащих информацию о держателях карт, реестр ресурсов, стандарты и политики, принятые в компании, документированные процедуры и процессы. Зона контроля (Scope) включает в себя:

    • все устройства и сетевые сегменты, в которых производится хранение, обработка или передача данных, содержащих информацию о держателях платежных карт;

    • все сетевые сегменты и устройства, подключенные к этим сегментам (в том числе активное сетевое оборудование).

    • Зона контроля может быть довольно обширной, особенно в том случае, если внутри сеть компании не сегментирована и (в случае, если речь идет о кредитной организации) для отделения процессингового центра от остальной сети банка не используются внутренние межсетевые экраны. Используя специальную методику, аудитор делает репрезентативную выборку (Sampling) тех устройств, которые непосредственно будут подлежать проверке в ходе аудита.

  2. Оценка соответствия на месте (On-site audit). После того как решен вопрос с выборкой и завершена проверка необходимых документов, начинается этап On-site audit, т. е. этап проверки реализации требований стандарта PCI DSS непосредственно на месте, т. е. на территории клиента. Аудиторы проверяют реализацию методов защиты и их соответствие требованиям PCI DSS согласно процедурам аудита, насчитывающим более 230 проверок.

  3. Подготовка и распространение отчета. После окончания процедуры проверки на месте начинается работа над подготовкой отчета. Если компания соответствует по всем пунктам требованиям стандарта, то в международную платежную систему, с которой она работает, посылается соответствующий отчет (ROC для Visa Int. и COV для MasterCard Worldwide).

  4. Подготовка плана по устранению несоответствий. Если в ходе проверки было найдено хотя бы одно несоответствие, проверяемая компания составляет план по устранению несоответствий (action plan). В этом плане должны быть указаны конкретные даты исправления обнаруженных несоответствий, а также те способы и меры, с помощью которых каждое из них планируется исправить.

ПРАКТИКА  

Теперь, коснувшись общей информации о стандарте PCI DSS и процедуре аудита, мы считаем целесообразным остановиться на практических аспектах данной проблематики, а также привести немного статистики. Сразу хотелось бы оговориться относительно достоверности информации, предоставляемой авторами настоящей статьи, – на сегодняшний день компания «Информзащита» является единственной российской компанией, обладающей статусами Qualified Security Assessor и Approved Scanning Vendor и сертифицированной на выполнение аудита информационных систем компаний, а также сканирование их сетей в соответствии с требованиями стандарта PCI DSS. В течение 2007г.

«Информзащита» успешно провела более 15 соответствующих аудитов крупных банков и процессинговых центров в РФ и других странах СНГ. В процессе исполнения данных проектов аудиторами компании был накоплен богатый практический опыт реализации необходимых процедур, отточена методика проведения аудита, аккумулировано и проанализировано огромное количество информации, касающейся несоответствий требованиям стандарта, а также основных причин этих несоответствий.

Используя эту информацию, мы постараемся обозначить наиболее важные, с точки зрения практического применения, моменты, которые смогут послужить подспорьем компаниям, готовящимся к прохождению необходимой процедуры аудита и пытающимся самостоятельно разобраться с пробелами в соответствии тем или иным требованиям стандарта.
Требования PCI DSS
Диаграмма 1. Среднее количество
выявленных несоответствий по
каждому из требований PCI DSS.
Требования PCI DSS
Диаграмма 2. Доля не применимых
проверок для различных
требований стандарта PCI DSS.

Основные несоответствия и их причины  

Как известно, в отношении любой непрофильной деятельности, а обеспечение информационной безопасности для процессинговых центров является именно таковой, бытует ряд мифов, в плену которых часто находятся компании. В нашем случае подобные заблуждения могут подвергнуть компанию высокому риску компрометации данных клиентов, а в настоящее время – являться причиной несоответствия тем или иным требованиям стандарта PCI DSS. Перечислим основные из этих мифов и попробуем их развенчать.

Распространённые мифы о PCI DSS  

  1. «Внутренних» злоумышленников не существует. Отчего-то многие до сих пор считают, что все угрозы связаны с действиями «внешних» злоумышленников, и поэтому основные усилия по IT-защите направлены на обеспечение безопасности периметра сети. При этом вопросы защиты ресурсов внутри сети часто вообще не рассматриваются или им не уделяется должного внимания. По статистике, более 70% инцидентов, связанных с информационной безопасностью, происходит по вине инсайдеров.
  2. Треки нужны для претензионной работы и поэтому должны храниться вместе с журналами транзакций. Такой подход противоречит требованиям стандарта PCI DSS, в соответствии с которыми данные треков должны удаляться сразу после процедуры авторизации, т. к. именно эти данные чрезвычайно ценны для злоумышленников, и их компрометация позволяет им впоследствии изготавливать поддельные платежные карты и выполнять мошеннические транзакции.
  3. Данные платежных карт вообще не следует удалять, вдруг они когданибудь кому-нибудь понадобятся. Такой подход сегодня принципиально ошибочен. Если раньше политикой безопасности регламентировались минимальные сроки хранения данных, то теперь стандарт PCI DSS требует, напротив, ограничения максимальных сроков хранения определенных данных, т. е. в компании должна быть реализована задокументированная политика хранения данных, четко определяющая необходимый для поддержания бизнес-процессов период хранения данных и требования к процедурам их последующего уничтожения.
  4. Подключения по выделенным каналам являются защищенными по определению. Многие компании ошибочно полагают, что если они подключат своих клиентов и партнеров по выделенным каналам связи, такое соединение защищать не придется, защищать следует только подключения через Интернет. На самом деле выделенные каналы также требуют защиты, а именно шифрования передаваемых данных и соответствующей настройки VPN и средств межсетевого экранирования.
  5. Cоответствия PCI DSS можно достичь, просто разработав комплект нормативной документации, поскольку на практике аудиторы ограничиваются проверкой документов и интервью с персоналом. Это в корне неверно: помимо вышеперечисленного аудиторы осуществляют также проверку настроек ПО и анализ содержимого файлов и таблиц баз данных, а также проверку соответствия сведений, указанных в предоставленных им документах, реальному положению вещей в компании.

Проблемные требования стандарта PCI DSS  

Теперь приведем немного статистики, касающейся наиболее проблемных, с точки зрения соответствия PCI DSS, требований стандарта, несоответствия которым наиболее часто обнаруживаются в ходе аудиторской проверки. Как наглядно демонстрирует диаграмма 1, наиболее «проблемными» для компаний по количеству несоответствий являются следующие требования стандарт PCI DSS.

по пунктам:

  • № 11: Необходимо проводить регулярное тестирование систем и процессов обеспечения безопасности.

  • № 2: Необходимо запретить использование параметров безопасности и системных паролей, задаваемых производителями по умолчанию.

  • № 3: Необходимо защищать хранимые данные держателей карт.

  • № 10: Необходимо отслеживать и проводить мониторинг всех попыток доступа к сетевым ресурсам и данным держателей карт.

  • № 8: Необходимо назначать уникальный идентификатор каждому, кто имеет доступ к компьютеру.

  • № 12: Необходимо поддерживать и совершенствовать политику информационной безопасности.
Несоответствия перечисленным выше требованиям выявляются чаще всего. В то же время выполнение следующих требований стандарта обычно не вызывает больших трудностей:
  • № 9: Необходимо ограничивать физический доступ к данным держателей карт.

  • № 4: Необходимо шифровать данные держателей карт при их передаче по открытым, публичным сетям.

  • № 7: Необходимо ограничивать доступ к данным держателей карт по принципу необходимого знания.
Важно отметить, что вышеописанные значения несоответствий рассчитаны с учетом применимости проверок к компаниям. Так, например, большинство компаний, где «Информзащита» проводила аудит, не занимается разработкой собственного ПО, поэтому многие проверки на соответствие Требованию 6 (Необходимо разрабатывать и поддерживать защищенные системы и приложения) к ним применить нельзя. Доля неприменимых проверок для различных требований стандарта приведена на диаграмме 2.

 Как показывает диаграмма, к банкам и процессинговым центрам применимы в среднем около 70% всех проверок (из 232 содержащихся в стандарте). Очень многие вопросы безопасности в компаниях реализуются в рамках исторически сложившихся практик, которые далеко не всегда соответствуют требованиям стандарта PCI DSS или даже внутренней политике безопасности компании. Поэтому ниже мы привели перечень наиболее часто встречающихся несоответствий требованиям стандарта.
  1. Необходимые для обеспечения бизнеспроцессов сетевые протоколы и политики межсетевого экранирования незадокументированы.
  2. Авторизационные данные хранятся в журналах транзакций ATM, POS-терминалов и т.д.
  3. Внутреннее сканирование уязвимостей сетевых устройств не проводится. 4. Не определена политика хранения данных, т.е. нет четкой установки, где и какие данные платежных карт хранить и когда их нужно удалять.
  4. Должным образом не обеспечивается контроль целостности приложений и операционных систем серверов.
  5. Не стандартизированы настройки операционных систем и приложений, в том числе с точки зрения обеспечения безопасности.
  6. Не устанавливаются вообще или устанавливаются несвоевременно обновления безопасности на серверы процессинга, так как для их установки необходимо перезагружать серверы и останавливать работу.
  7. В случае использования ПО собственной разработки последнее ничем не регламентировано, и разработчики всегда поддерживают продукционную систему самостоятельно как наиболее компетентные специалисты.
  8. Парольная политика применяется в основном только в доменах Windows. На Unix-серверах, в базах данных, и к приложениям парольная политика применяется крайне редко.
  9. Регистрация событий не рассматривается как источник информации для мониторинга уровня безопасности и расследования инцидентов.
  10. Обучение рядовых сотрудников в части информационной безопасности обычно ограничивается единственным инструктажем при приеме на работу.


Таким образом, ознакомившись с приведенным списком основных несоответствий требованиям стандарта PCI DSS, вы можете попытаться «примерить» его на свою компанию и заранее постараться устранить выявленные несоответствия. В заключение хотелось бы отметить, что компаниям, в которых процессы управления IT и IT-безопасностью реализованы в соответствии с ITIL, COBiT и другими современными IT-стандартами, намного проще выполнить все требования PCI DSS, нежели компаниям, где исторически всей автоматизацией и безопасностью процессинга управляли несколько специалистов, действовавших на собственное усмотрение и без документирования своей деятельности.

Текст статьи читайте в журнале  "ПЛАС" 2 (132) ’2008 сс. 12


Комментарии (0):

Добавлять комментарии могут только зарегистрированные Пользователи


Читайте в этом номере:
обновить

а вы знаете, что...

… в Океании раковины каури (моллюсков) сохранились как платежное средство ограниченного оборота до наших дней? В настоящее время среди всех архипелагов Океании раковины моллюсков действительно распространены в качестве не декоративной, а реальной расчетной единицы на Соломоновых островах.