Google+
Журнал Плас Плас Журнал http://www.plusworld.ru/
ул. Кржижановского, д. 29, корп. 5 Москва, 117218 Россия
+7 495 961 1065 http://www.plusworld.ru/upload/templates/logo_plus_ru.png
RSS RSS RSS RSS

«Лучше меньше, да лучше», или Практика определения области аудита PCI DSS

(Нет голосов)

10.03.2010 Количество просмотров 1034 просмотра

Сергей Шустиков, руководитель направления менеджмента ИБ компании Digital Security, PCI QSA

Сергей Шустиков – руководитель направления менеджмента информационной безопасности компании Digital Security, PCI QSA. Специализируется на управлении безопасностью. Область профессиональных интересов охватывает разработку систем менеджмента информационной безопасности в соответствии с международными стандартами и проведение аудитов на соответствие требованиям международных и национальных стандартов индустрии защиты информации (PCI DSS, ISO 27001, СТО БР-ИББС1.0).

Занимается научно-исследовательской деятельностью в области системного анализа методов управления в сфере информационных технологий и информационной безопасности. Преподает ряд специальных дисциплин на кафедре Безопасных Информационных Технологий Санкт-Петербургского Государственного Университета Информационных Технологий Механики и Оптики.


В рамках партнерства журнал «ПЛАС» с web-порталом PCIDSS.RU, запущенным компанией Digital Security для обмена опытом в области PCI Compliance Management, мы продолжаем новый цикл публикаций, посвященных практическим аспектам внедрения системы менеджмента информационной безопасности на пути к PCI Compliance*. В этот раз мы рассмотрим вопросы правильного определения границ области аудита, позволяющего в будущем избежать трудноразрешимых проблем в процессе подготовки к сертификации.

Область соответствия и область аудита

Практика показывает, что у компаний, решивших привести свои информационные системы в соответствие требованиям стандарта PCI DSS, возникает большое количество вопросов относительно определения области аудита. Основной вопрос заключается в том, какие из информационных систем, входящих в информационную инфраструктуру компании, необходимо приводить в соответствие стандарту.

Для начала следует уточнить, что есть разница между тем, какие системы должны соответствовать стандарту PCI DSS, и тем, какие системы подлежат проверке в ходе QSA-аудита. Эти области не всегда совпадают. Любая система, хранящая, обрабатывающая либо передающая данные о держателях карт, должна соответствовать требованиям стандарта PCI DSS. Пусть даже если это номер одной-единственной карты. Эту область мы назовем термином «область соответствия». Что касается области, подлежащей проверке на соответствие требованиям стандарта в ходе QSA-аудита, то для большинства организаций она совпадает с изолированной областью соответствия (средой данных о держателях карт, Cardholder Data Environment, CDE). Назовем множество систем, подлежащее проверке, «областью аудита».

Однако для банков здесь не все так просто. Позиция Совета PCI SSC изложена на его официальном сайте www.pcisecuritystandards.org в разделе «Часто задаваемые вопросы». В ответе на вопрос «применим ли стандарт PCI DSS к эмитентам?» Совет сообщает следующее: «Стандарт PCI DSS применим ко всем структурам, хранящим, обрабатывающим или передающим данные о держателях карт, и все эти структуры должны соответствовать PCI DSS, включая эмитентов карт. Однако каждая международная платежная система применяет свою собственную программу управления соответствием PCI DSS, определяющую, кто именно проверяет соответствие PCI DSS, уровни поставщиков услуг и торгово-сервисных предприятий, а также крайние сроки достижения соответствия стандарту.

По своему усмотрению международные платежные системы могут потребовать у эмитентов проверить соответствие PCI DSS.

Для уточнения детальных требований к проверке соответствия связывайтесь с международными системами».
Ответы международных платежных систем на вопрос о том, входит ли эмиссионная часть карточной инфраструктуры банка в область QSA-аудита, определенности не добавляют. Их письма содержат общие слова о том, что все карточные системы должны соответствовать стандарту.
При этом акцент делается на слова «должны соответствовать», и без того очевидные. От прямого ответа на конкретный вопрос о вхождении в область QSAаудита эмиссионной части инфраструктуры международные платежные системы предпочитают уклоняться, оставляя за собой право выборочной проверки.
Сложившаяся на рынке практика QSAкомпаний, причем как российских, так и западных, предполагает следующий подход: соответствовать должны все системы, так или иначе связанные с данными о держателях карт, но проверке соответствия стандарту PCI DSS подлежит только эквайринговая часть платежной инфраструктуры, если речь идет о банке.
Граница между эквайринговой и эмиссионной частью, которую, к слову, на практике бывает очень непросто провести, проходит по обработке on-us транзакций.
Поток данных эквайринговой on-us транзакции проверяется на соответствие стандарту, а все, что связано с процессом выпуска карт, остается за рамками аудита.
Безусловно, подразумевается то, что эмиссионная часть отделена от эквайринговой корректно настроенным межсетевым экраном, иначе эмиссия попадет в область аудита по формальному признаку связанной системы.
Еще раз необходимо отметить, что эта проблема встает перед торгово-сервисными предприятиями и поставщиками услуг, обслуживающими данные о держателях карт для своих клиентов. В подобных организациях область аудита в большинстве случаев совпадает с изолированной областью соответствия.

Минимизация области соответствия
Как известно, приводить в соответствие требованиям стандарта необходимо всю область соответствия, к которой относятся все системы, хранящие, обрабатывающие и передающие данные держателей карт. Но при правильном подходе эту область можно значительно сократить. Вывести из нее информационные системы можно двумя основными способами:
• исключение данных о держателях карт из отдельных систем, если это позволяют бизнес-требования;
• изоляция области соответствия при помощи межсетевых экранов.

Исключение данных о держателях карт из отдельных систем
Для начала следует составить перечень всех информационных систем, баз данных, общих сетевых ресурсов, хранилищ резервных копий, в которых так или иначе хранятся, обрабатываются и передаются данные о держателях карт. Далее необходимо понять, насколько обосновано с точки зрения бизнеса компании нахождение в них таких данных.
Очень часто данные о держателях карт встречаются в IT-системах, где несложно обойтись и без их использования. Например, номер карты может применяться в качестве идентификатора клиента в дисконтных программах, или же он может играть роль ссылки при интеграции различных приложений. В подобных случаях PAN может быть заменен на ссылку, имя пользователя, номер счета и т.д. Основная сложность может быть связана с тем, что такие варианты использования PAN широко практикуются приложениями, разработанными самостоятельно внутри организации, разработчики которых давно уже ушли из данной структуры.
Внесение даже самого незначительного изменения в такие приложения порой становится неразрешимой задачей.
Принимая решение «лишить» ту или иную систему данных о держателях карт, следует помнить о хранящихся в архиве носителях резервных копий этой системы. И если после внесения соответствующих изменений информационная система, которая отныне никак не связана с карточными данными, смело может исключаться из области соответствия, то резервные копии из ее «прошлой жизни» продолжают оставаться носителями данных о держателях карт. И с этими копиями следует обращаться в соответствии со всеми требованиями PCI.

Изоляция области соответствия и внедрение DMZ
После того как в области соответствия остались только те системы, работа которых с данными о держателях карт необходима с точки зрения бизнеса компании, необходимо подумать об их изоляции. Дело в том, что по правилам, определенным в стандарте, в область аудита входят все системы, хранящие, передающие или обрабатывающие данные о держателях карт, а также связанные с ними системы. Под связанными понимаются системы, соединения с которыми не защищены корректно настроенными межсетевыми экранами.
Особенно остро проблема выделения карточных систем в отдельный сегмент стоит в банках, которые имеют масштабные информационные инфраструктуры, часто бывающие распределенными территориально.
Среду данных о держателях карт по требованиям стандарта PCI DSS следует отделить от внешнего мира при помощи демилитаризованной зоны (DMZ). DMZ должна гарантировать отсутствие прямых маршрутов между внешней средой и средой данных о держателях карт. С целью минимизации затрат на обеспечение соответствия PCI DSS рекомендуется размещать DMZ непосредственно на границе среды данных о держателях карт и остальной сети организации.
На рис. 1 приведен пример не рекомендуемой схемы изоляции среды данных о держателях карт, когда DMZ устанавливается на входе каждого канала связи с внешней средой. POS-терминалы торгово-сервисных предприятий и банкоматы могут подключаться к сети банка через его филиалы (каналы связи C-1, C-2 и C-3), и им требуется соединение с CDE.
В этом случае на маршрутизаторе (межсетевом экране) R-2 потребуется открыть входящие соединения из сетей DMZ-1, DMZ-2, DMZ-3. Эти сети попадут в область аудита, так как будут являться связанными. Такое решение имеет право на жизнь, однако потребует от банка значительных ресурсов на достижение и поддержание соответствия. Филиалы, где расположены такие DMZ, придется приводить к соответствию PCI DSS, а аудитору придется обследовать в ходе QSAаудита каждый из них, что значительно повысит затраты банка.
Напротив, внедряя DMZ непосредственно на границе DMZ и остальной локальной сети организации, мы можем вынести все офисы и филиалы за область аудита, как показано на рис. 2. Доступ в CDE разрешен только из DMZ. При этом остальная сеть организации приравнивается к недоверенной, и проходящий по ней трафик, содержащий данные о держателях карт, должен быть зашифрован. Нарушение этого требования сразу же включит всю оставшуюся сеть компании в область аудита.

Полный текст статьи читайте в журнале "ПЛАС" 1 (153) ’2010 сс. 28 -30


Комментарии (0):

Добавлять комментарии могут только зарегистрированные Пользователи


Читайте в этом номере:
обновить

а вы знаете, что...

… деньги из раковин на Соломоновых островах отличаются устойчивостью к любым финансовым кризисам? Если население отдаленных островов используют раковины в качестве расчетной единицы, то в более цивилизованных местах архипелага такие деньги используются как надежный запас на черный день, в то время как расчеты ведутся «обычными» деньгами. Недостаток у них один – недолговечность: раковины хрупкие, часто ломаются. Из-за этого денежная масса остается стабильной и не нарастает, что позволяет поддерживать постоянный курс.