Google+
Журнал Плас Плас Журнал http://www.plusworld.ru/
ул. Кржижановского, д. 29, корп. 5 Москва, 117218 Россия
+7 495 961 1065 http://www.plusworld.ru/upload/templates/logo_plus_ru.png
RSS RSS RSS RSS

Пространственное соответствие PCI DSS

(Нет голосов)

29.07.2010 Количество просмотров 1074 просмотра
Физическое размещение серверов, хостинг, организация серверных комнат – от этих аспектов зависит выбор способа обеспечения безопасности карточных данных и выполнения целого ряда требований стандарта PCI DSS. Продолжая цикл публикаций, посвященных практическим аспектам внедрения системы менеджмента информационной безопасности на пути к PCI Compliance, в рамках своего сотрудничества журнал «ПЛАС» и web-портал PCIDSS.RU предлагают своим читателям материал, подготовленный Евгением Безгодовым, ведущим аналитиком по информационной безопасности компании Digital Security. В настоящей статье мы рассмотрим, как организациям, сертифицируемым на соответствие стандарту, выполнить эти требования, а также чем хостинг-провайдеры могут им в этом помочь.

Евгений Безгодов – ведущий аналитик по информационной безопасности компании Digital Security. Практикует разработку систем менеджмента информационной безопасности, а также решений в области управления соответствием нормативным требованиям, таким как ISO 27001, PCI DSS, СТО БР ИББС-1.0-2008. Исследует актуальные вопросы управления соответствием национальному законодательству в области информационной безопасности. Имеет богатый практический опыт защиты информационных активов коммерческих структур. Преподает ряд специальных дисциплин студентам высших учебных заведений.

Введение

Стандарт PCI DSS содержит ряд требований, связанных с физическим размещением информационной инфраструктуры, т. е. с тем, где и в каких условиях расположены ее компоненты. Основная часть этих требований представлена в девятом разделе стандарта, посвященном физической безопасности данных о держателях карт (ДДК). Кроме того, поскольку выбор варианта физического размещения влияет на организацию каналов связи, он также влияет на выполнение следующих требований: межсетевое экранирование (раздел 1), шифрование ДДК при их передаче через сети общего пользования (раздел 4) и применение двухфакторной аутентификации при удаленном доступе (требование 8.3). Еще четыре требования, связанные с привлечением сторонних поставщиков услуг, определенные в подразделе 12.8, должны быть исполнены в случае размещения информационной инфраструктуры на площадке хостинг-провайдера.

Исполнение этих требований обязательно для всех компаний, подлежащих сертификации по PCI DSS. В статье мы рассмотрим подходы к их исполнению с точки зрения различных вариантов физического размещения серверных компонентов среды ДДК.

Выполнение требований стандарта PCI DSS при размещении серверов на территории сертифицируемой организации

Начнем с рассмотрения самого, пожалуй, распространенного варианта – когда компоненты информационной инфраструктуры расположены в собственной серверной комнате на территории организации. В части обеспечения физической безопасности информационной инфраструктуры, согласно девятому разделу стандарта PCI DSS, организация должна применять меры, описанные ниже.
 1. Ограничить и контролировать физический доступ во все помещения, в которых расположены компоненты среды ДДК, включая серверные комнаты. Для этих целей должны применяться:
•    запирающие устройства на основе смарт-карт или механических замков;
•    системы контроля доступа, включая видеонаблюдение и системы на основе смарт-карт. Необходимо организовать процессы управления физическим доступом, выдачи и изъятия пропусков и ключей.

В том числе, должны быть предусмотрены процедуры запроса и согласования доступа в различные помещения, отзыва пропусков уволенных сотрудников, пропусков с истекшим сроком действия и не сданных своевременно посетительских пропусков.

Журналы событий систем контроля доступа должны регулярно анализироваться на предмет наличия нарушений пропускного режима. Необходимо сохранять эти журналы как минимум за последние три месяца.

2. Ограничить и контролировать доступ посетителей. Для этого в организации необходимо выполнить следующие действия:

• обеспечить возможность легко различать сотрудников и посетителей. Например, с помощью выдачи им отличающихся бейджей или пропусков;

• ограничить доступ, предоставляемый по посетительским пропускам, таким образом, чтобы исключить проникновение посетителей без сопровождения сотрудников в помещения, где расположены компоненты информационной инфраструктуры;

• ограничить срок действия пропусков, выдаваемых посетителям;

• вести журнал учета посетителей, содержащий имя посетителя, название представляемой им организации, сотрудника, предоставившего ему доступ.

В журнале должны регистрироваться все факты прохода посетителя в помещения, в которых расположены компоненты информационной инфраструктуры.

3. Ограничить доступ к сетевым разъемам, расположенным в общедоступных местах. Для этого необходимо отключать неиспользуемые сетевые разъемы, а также исключать наличие посетителей без сопровождения в помещениях с активными сетевыми разъемами.

4. Обеспечить учет, инвентаризацию и маркирование материальных носителей ДДК, а также контроль их передвижения.

К таким носителям относятся и серверы.

Например, необходимо учитывать и контролировать отправку серверов в ремонт и утилизацию носителей резервных копий.

Выполнение требований стандарта PCI DSS при размещении серверов на площадке хостинг-провайдера

Второй вариант, распространенный в основном среди небольших организаций индустрии платежных карт, это размещение серверов на площадке хостинг-провайдера.

Стандарт PCI DSS определяет, что все поставщики услуг, имеющие доступ к ДДК либо способные повлиять на их безопасность, должны пройти сертификацию по PCI DSS. Хостинг-провайдеры относятся к числу таких поставщиков.

При этом согласно требованию 12.8 каждая организация, использующая услуги таких поставщиков, в рамках работ по достижению соответствия стандарту, должна убедиться в том, что все эти поставщики соответствуют его требованиям.

Разместив свои серверы на площадке сертифицированного по PCI DSS хостингпровайдера, организация может тем самым выполнить значительную часть требований стандарта, прежде всего в части физической безопасности. Однако на момент написания этой статьи на территории Российской Федерации нет ни одного хостингпровайдера, обладающего статусом соответствия PCI DSS (по крайней мере заявившего о себе публично). По этой причине мы рассмотрим два варианта действий:

• размещение серверов на площадке сертифицированного по PCI DSS хостингпровайдера;

• размещение серверов на площадке несертифицированного хостинг-провайдера с применением компенсирующих мер защиты.

Общими для этих вариантов являются следующие требования стандарта (описанные в требовании 12.8):

• необходимо поддерживать актуальный перечень поставщиков услуг, имеющих доступ к ДДК;

• необходимо заключать письменное соглашение с каждым поставщиком услуг о том, что поставщик ответствен за безопасность переданных ему данных о держателях карт, включая данные, находящиеся на размещаемых серверах;

• необходимо проводить тщательную проверку благонадежности каждого поставщика услуг перед началом взаимодействия с ним.

Размещение на площадке сертифицированного по PCI DSS хостинг-провайдера

Сертифицированный по PCI DSS хостинг-провайдер берет на себя выполнение большей части требований по физической защите размещаемых серверов.

Таким образом, организации нет необходимости самой заботиться о таких вопросах, как ограничение и контроль физического доступа к серверам и видеонаблюдение. Кроме того, некоторые сертифицированные хостинг-провайдеры предлагают дополнительные услуги, такие как предоставление управляемых межсетевых экранов и систем обнаружения и предотвращения вторжений.

При этом в отношении требований, связанных с организацией каналов связи, необходимо учесть следующий момент. В отличие от случая с размещением серверов на территории организации связь с рабочими станциями и прочими компонентами среды ДДК, находящимися вне дата-центра хостинг-провайдера, будет организована посредством общедоступных каналов связи. Соответственно, для этих каналов связи необходимо в полной мере выполнить требования стандарта в части:

• межсетевого экранирования (раздел 1);

• шифрования ДДК при их передаче (раздел 4);

• применения двухфакторной аутентификации при удаленном доступе (требование 8.3).

Внутренние каналы связи между расположенными на одной площадке серверами, предоставляемые сертифицированным по PCI DSS хостинг-провайдером и защищенные межсетевыми экранами, можно рассматривать как доверенные.

Теперь давайте посмотрим, какие конкретно предложения доступны на рынке сертифицированного по PCI DSS хостинга. Как мы уже упомянули выше, в России на данный момент такие предложения отсутствуют. Поэтому мы вынуждены обратиться к зарубежным поставщикам.

При этом нас как представителей европейского континента будет интересовать прежде всего европейский сегмент рынка. Именно ему мы уделим основное внимание в своем исследовании.

Для получения исходной информации воспользуемся Перечнем поставщиков услуг, подтвердивших соответствие PCI DSS, опубликованным международной платежной системой Visa. Таких документов два: Глобальный перечень сертифицированных поставщиков услуг (Global List of PCI DSS Validated Service Providers) от 5 мая 2010г. и Европейский перечень сертифицированных поставщиков услуг (List of PCI DSS validated service providers) от 4 мая 2010г. Эти перечни подходят для наших целей, потому что они содержат информацию о видах предоставляемых провайдерами услуг, а также отделяют европейский сегмент рынка от остального мира. В качестве альтернативы можно рассмотреть аналогичный документ от MasterCard Compliant Service Providers, однако он не содержит такой информации и, следовательно, не позволяет оперативно сделать выборку хостинг-провайдеров из общего числа поставщиков услуг или произвести их географическое деление. Поэтому, исходя из предположения, что большинство хостинг-провайдеров, получивших статус соответствия PCI DSS, предоставили информацию о себе в обе рассматриваемые платежные системы, остановимся на перечне от Visa.

Из европейского перечня нами были выбраны те компании, которые заявили, что предоставляют хостинг в качестве основного вида сертифицируемых услуг. Уже на этом этапе стало очевидно, что в России сертифицированные по PCI DSS хостингпровайдеры отсутствуют. Затем был проведен анализ сайтов выбранных компаний и из них выделены только те, которые предлагают услуги по размещению физических или виртуальных серверов. В итоге был получен перечень из шести хостинг-провайдеров, обладающих статусом соответствия PCI DSS и предоставляющих на рынке стран Европы интересующие нас услуги.

Мы связались с этими компаниями для получения дополнительной информации.

Ответ на наш запрос получен от трех из них. Тем не менее мы приводим полный перечень:

• Atos Origin – предлагает размещение как физических, так и виртуальных серверов;

• DATAPIPE – предлагает размещение как физических, так и виртуальных серверов. Сертифицированный по PCI DSS дата-центр расположен на территории Великобритании;

• DanDomain – предлагает размещение физических или виртуальных серверов, а также аренду собственных физических серверов. Стоимость размещения виртуального сервера начинается от 67 евро в месяц и зависит от набора дополнительных услуг и объема трафика. Размещение физического сервера стоит от 100 евро в месяц;

• Foreshore – предлагает размещение физических серверов на своей площадке с соответствием PCI DSS и планирует распространить действие своего сертификата соответствия на сервис виртуальных серверов в июле 2010г.;

• Informations Technlogie Austria – предлагает размещение виртуальных серверов под управлением различных операционных систем;

• TelecityGroup– предлагает размещение физических серверов на своей площадке, обладающей сертификатом соответствия PCI DSS, а также множество дополнительных сервисов, таких как управляемый межсетевой экран, системы обнаружения и предотвращения вторжений (IDS/IPS), а также резервное копирование данных.

Информацию об ориентировочной стоимости услуг удалось получить только на сайте DanDomain, она представлена выше. Остальные отреагировавшие на наш запрос компании ответили, что стоимость определяется в зависимости от специфики потребностей каждого конкретного клиента.

Кроме того, мы убедились в том, что наиболее развит рынок сертифицированного по стандарту PCI DSS хостинга на территории США. Мы связались с одной американской хостинговой компанией и получили следующую информацию: компания Stafford associates предлагает размещение физических или виртуальных серверов на собственной площадке с соответствием PCI DSS. Пространство на 20 юнитов с электропитанием на 8 ампер и 16 IP-адресами обойдется клиенту в 480 долларов в месяц.

На территории США действует множество хостинг-провайдеров, обладающих статусом соответствия PCI DSS. Мы не приводим здесь их полный перечень с подробным описанием лишь из соображений краткости изложения материала.

Размещение на площадке несертифицированного хостинг-провайдера с применением компенсирующих мер защиты

Поскольку сертифицированные по PCI DSS хостинг-провайдеры на российском рынке пока отсутствуют, полезно будет разобраться, как же выполнить требования стандарта при размещении серверов на площадке провайдера, не обладающего статусом соответствия. Тем более что инфраструктура многих компаний уже размещена на таких площадках, и перенести ее крайне затруднительно.

В случае такого размещения организации придется применить целый ряд компенсирующих мер. Стандартом определено, что компенсирующие меры могут использоваться для требований PCI DSS в том случае, если проверяемая организация не может выполнить требование по обоснованным техническим или бизнесограничениям, однако успешно снизила риск, связанный с требованием, путем реализации другой защитной меры. Компенсирующие меры должны удовлетворять следующим требованиям: 1. Преследовать ту же цель, что и прямое требование PCI DSS; 2. Обеспечивать ту же степень защищенности, что и прямое требование PCI DSS, чтобы снизить риск так же эффективно, как и выполнение прямого требования стандарта; 3. Не являться по сути выполнением другого требования PCI DSS; 4. Быть соизмеримыми с дополнительным риском, вызванным невозможностью выполнить требование PCI DSS.

Какие же меры необходимо принять в качестве компенсирующих? Начнем с физической безопасности, т. к. именно она претерпевает наибольшие изменения в момент, когда мы размещаем серверное оборудование на «чужой» территории. Задачу компенсирующих мер, направленных на исполнение требований девятого раздела стандарта, можно рассматривать как задачу создания на территории хостинг-провайдера замкнутого пространства, контролируемого клиентом. Для ее исполнения рекомендуем принять следующие меры:

• Необходимо расположить все физические компоненты среды данных о держателях карт в одном или нескольких закрываемых на замок контейнерах. Для этих целей оптимально рассматривать прочные серверные шкафы, закрываемые со всех сторон, сверху и снизу, и оборудованные надежными замками. Конструкция шкафа должна обеспечивать необходимую вентиляцию, но исключать доступ к компонентам системы и их коммуникационным разъемам. На рынке имеются подходящие предложения от различных производителей, найти которые не составит большого труда.

• Систему запирания шкафов следует дополнить системой контроля и управления доступом, основанной на личных смарт-картах или других технологиях, позволяющих выполнять автоматическую идентификацию лиц, получающих физический доступ к компонентам информационной инфраструктуры. Журналы регистрации фактов физического доступа должны сохраняться как минимум в течение трех месяцев.

• Необходимо разработать и внедрить процедуру управления физическим доступом и ключами от замков, чтобы обеспечить доступ только тем сотрудникам, которым он необходим для выполнения должностных обязанностей. При этом в случае невозможности установить систему автоматической регистрации фактов физического доступа с идентификацией сотрудника необходимо выделить сотрудника, ответственного за хранение ключей. Такого сотрудника необходимо выбрать из числа тех, кому не требуется физический доступ к серверам для выполнения должностных обязанностей. Например, таким сотрудником может быть сотрудник службы безопасности или руководитель организации.

На сотрудника, ответственного за хранение ключей, необходимо возложить обязанности по регистрации каждого факта выдачи и возврата ключей в журнале. Сотрудник, получающий физический доступ к серверам, должен сдавать ключ ответственному сотруднику непосредственно после окончания выполнения работ.

• Шкафы следует оборудовать системой видеонаблюдения. В случае согласия со стороны хостинг-провайдера должен просматриваться весь наружный периметр серверных шкафов. В противном случае систему видеонаблюдения необходимо установить внутри каждого шкафа, обеспечив просмотр проема его дверцы. Получаемые от системы данные должны сохраняться как минимум в течение трех месяцев.

• Необходимо обеспечить моментальное автоматическое информирование ответственного сотрудника компании о каждом факте открытия серверного шкафа. Такое информирование может быть выполнено на основе сервисов SMS или e-mail. Желательно, но не обязательно, высылать сообщение с приложением фотоснимка того человека, который открывал дверцу шкафа, сделанного системой видеонаблюдения в момент регистрации события.

• Разработать, внедрить и выполнять ежедневные процедуры контроля физического доступа, анализа журналов событий физического доступа и данных системы видеонаблюдения.

• Разработать, поддерживать в актуальном состоянии и регулярно тестировать планы реагирования на инциденты, связанные с физическим доступом к ИТ-инфраструктуре.

Все эти меры должны обеспечиваться и контролироваться самим клиентом, а не хостинг-провайдером, которого, при отсутствии у него сертификата соответствия PCI DSS, следует рассматривать как недоверенную среду.

Следует учитывать, что меры, направленные на исполнение требований межсетевого экранирования, шифрования ДДК при их передаче по общедоступным каналам связи и двухфакторной аутентификации при удаленном доступе, по сути своей не являются компенсирующими в терминологии стандарта. Для их исполнения необходимо рассматривать любой канал связи, находящийся вне защищенного серверного шкафа, как относящийся к недоверенной сети. К числу таких каналов связи относится и внутренняя сеть хостинг-провайдера. Соответственно, для каждого такого канала связи необходимо в полной мере выполнить требования стандарта в части защиты передаваемых данных и обеспечения безопасности удаленного доступа.

Отдельно отметим, что использование KVM-переключателя допустимо только при условии, что это устройство полностью контролируется самой организацией, недоступно третьим лицам, включая хостингпровайдера и других его клиентов. Устройство и все его подключения должны быть физически защищены аналогично серверному оборудованию, как описано выше.

Выполнение требований стандарта PCI DSS для рабочих станций сотрудников

Требования к физической защите пользовательских рабочих станций, хранящих, обрабатывающих и передающих ДДК, абсолютно идентичны требованиям физической защиты серверных компонентов. Эти требования мы уже описывали выше, когда говорили о варианте размещения в собственной серверной комнате.

Поэтому мы рекомендуем минимизировать количество таких рабочих станций или по возможности отказаться от них полностью. Особенно эта рекомендация актуальна для организаций, разместивших все серверные компоненты среды ДДК на площадке хостинг-провайдера.

В этом случае, отказавшись от хранения и обработки ДДК на рабочих станциях, а также от наличия любых других носителей ДДК в офисных помещениях, организация может полностью вывести свои офисные помещения за пределы области сертификационного аудита. В противном случае придется организовывать на территории офиса, поддерживать и подвергать аудиту описанные выше меры физической безопасности.

Заключение

Мы рассмотрели три варианта физического размещения информационной инфраструктуры с точки зрения выполнения требований стандарта PCI DSS. Каждый из этих вариантов обладает своими достоинствами и недостатками. Выбор того или иного варианта зависит далеко не только от целей обеспечения информационной безопасности и соответствия PCI DSS. Более того, зачастую организация сталкивается с задачей достижения соответствия PCI DSS уже после создания информационной инфраструктуры на площадке, выбранной без учета требований стандарта. Для каждого варианта существует свой способ выполнения этих требований. Наибольшую озабоченность у нас вызывает отсутствие на территории Российской Федерации хостинг-провайдеров, сертифицированных по стандарту PCI DSS. Именно это обстоятельство заставляет российские компании внедрять сложный комплекс компенсирующих мер, тогда как решение о размещении серверов у хостинг-провайдера принимается ими зачастую именно для избавления от подобных забот. Немало проблем это доставляет и самим хостинг-провайдерам, которым приходится размещать у себя нестандартное оборудование, такое как камеры видеонаблюдения клиента и дополнительные элементы физической защиты серверных стоек и шкафов.

Сертификация по стандарту PCI DSS может быть совсем не обременительна для многих хостинг-провайдеров. Многие такие компании по факту уже соответствуют большинству его требований – обеспечивают ограничение и контроль физического доступа на свою территорию и к размещенному оборудованию, осуществляют видеонаблюдение, поддерживают собственные политики и процедуры информационной безопасности, обеспечивают разделение клиентских сред.

Для получения сертификата соответствия PCI DSS необходимо выполнить все требования стандарта, применимые к хостинг-провайдеру, и успешно пройти сертификационный аудит с привлечением внешнего QSA-аудитора. Это позволит хостинг-провайдеру избавить себя и клиентов от забот, описанных выше, а также привлечь новых заказчиков в лице предприятий электронной коммерции и других участников индустрии платежных карт.

Итак, кто будет первым?


Полный текст статьи читайте в журнале "ПЛАС" 6 (158) ’2010 сс. 10-15

Комментарии (0):

Добавлять комментарии могут только зарегистрированные Пользователи


Читайте в этом номере:
обновить

а вы знаете, что...

… в Китае в XXV веке до н.э., наряду с бартером, начинают развиваться денежные отношения? Роль "посредничающего" товара, который можно свободно обменять на любой другой, играют в основном ракушки каури, добываемые на близлежащих островах в Тихом океане. Со временем каури становятся основным платежным средством во всем Китае.