Новые стандарты безопасностиVISA
В последнее время в печатных изданиях, специализирующихся в области электронной коммерции, часто появляются материалы, в которых
упоминаются новые правила Visa international, призванные усилить безопасность платёжной системы. В одном из последних публичных заявлений Visa International говорится о том, что ассоциация рассматривает данные правила не только в качестве исключительно внутренних регулятивов, но и как руководство к действию для сторонних организаций. Другими словами, Visa считает, что данные правила могут стать прообразом общих стандартов безопасности отрасли. Сообразуясь с выше изложенным, мы приняли решение познакомить читателей с новыми
“Стандартами информационной безопасности” ассоциации Visa International, как говорится, “без купюр”.
Новые “Стандарты информационной безопасности”
(Account Information Security
Standards) фундируются следующими основополагающими документами: “Руководством по обеспечению информационной безопасности финансовых организаций”
(ANSI Information Security for
Financial Organizations Guidelines,
X9/TG-5 [1992]) и “Руководством по
обеспечению информационной безопасности банковских и других
финансовых услуг” (ISO Banking and
Related Financial Services Information
Security Guidelines, Second Edition,
TR 13569).
Данные правила достаточно гибки, чтобы адаптировать их для использования в любой организации.
Однако эти стандарты не представляют собой исчерпывающую информацию по программам безопасности. Например, они не регламентируют такой момент, как подготовка и проведение резервного копирования.
В дополнение к упомянутым
стандартам выпущено специальное
“Руководство по обеспечению информационной безопасности”.
Вводя новые стандарты безопасности, руководство Visa
International напоминает участникам ассоциации: данные правила
улучшают уровень безопасности,
но не гарантируют утечку информации о транзакции и состоянии
счетов картхолдеров; данные правила являются дополнением к существующим, но не заменяют их и не отменяют действующие нормативы.
Документ предназначен для членов ассоциации и их агентов, а также торговых предприятий, имеющих доступ к информации о транзакции или состоянии счёта.
Резюме для руководящего состава
Члены ассоциации, агенты, торговцы и их руководители всегда
несли ответственность за внедрение эффективных средств контроля доступа к информации о транзакции и состоянии счёта. Поскольку сохранение конфиденциальности, целостности и аутентичности данной информации всегда
было приоритетным в платёжной
отрасли, эта декларация должна
быть защищена от несанкционированных изменений. Постоянно
увеличивается поток информации
по транзакциям и состоянию счёта, циркулирующий через агентов
и банки, которые не являются членами ассоциации Visa
International, а для них усиление
безопасности имеет, возможно,
большее значение, чем для членов
Visa International. Дискредитация
безопасности влечёт за собой финансовые потери, поражение
в конкурентной борьбе, нанесение
урона репутации компании, разного рода косвенные издержки, судебные иски и введение санкций.
Члены ассоциации несут ответственность за то, чтобы их агенты
и торговцы действовали в соответствии с предложенными Visa
International “Стандартами информационной безопасности”. Члены
ассоциации должны предоставлять
документы, подтверждающие, что
их агенты и торговцы выполняют
нижеизложенные правила.
Защита информации о транзакции
и состоянии счёта
Правилами определяется тот минимальный уровень защиты информации, который необходимо гарантированно обеспечивать.
Определение
Информация о транзакции и состоянии счёта включает сведения, которые необходимы для корректного проведения транзакции по карточкам Visa, включая информацию,
записанную на карточке электромеханическим или другим способом,
а именно:
• любая информация, используемая
для аутентификации по платёжной
транзакции, такая как номер карточки, дата истечения срока карточки, PIN, CVV, CVV2, пароли, цифровые сертификаты, данные для биометрической аутентификации;
• любая информация, получаемая во
время осуществления процессинга,
обеспечивающая идентификацию
покупателя и его заказ. Данная информация включает имя покупателя,
описание заказа, сумму покупки
и другие детали транзакции;
• информация о транзакции и состоянии счёта не включает имя покупателя, описание заказа, сумму покупки и другие детали, за исключением того случая, когда она специально предоставляется картхолдером независимо от требований Visa.
Запреты
Торговец не имеет права использовать информацию о транзакции
и состоянии счёта для каких-либо
иных целей, кроме проведения
транзакции, или в целях, специально оговоренных в законах. Торговец может аккумулировать сведения о номере карточки и дате истечения срока карточки независимо
от транзакции исключительно
с согласия держателя карточки.
Торговец может сохранять эти сведения с единственной целью – упрощения процесса дальнейших
транзакций. Торговец не имеет
права предоставлять данную информацию какому-либо другому
лицу, за исключением того случая,
когда это делается с целью завершения процесса транзакции в системе Visa International.
Ограничения
Члены ассоциации обязаны ограничивать физический и логический доступ к информации о транзакции
и состоянии счёта в соответствии
с изложенными далее положениями:
• внедрять контролирующие механизмы, предотвращающие несанкционированное чтение, изменение или
уничтожение информации о транзакции и состоянии счёта;
• защищать информацию о транзакции и состоянии счёта в любой форме: хранящуюся на компьютере,
на автономных носителях, циркулирующую по сети, отображаемую на
дисплее, зафиксированную в печатных документах;
• уничтожать информацию о транзакции и состоянии счёта, которая
более не требуется для осуществления процессинга, чтобы несанкционированный доступ к информации
не имел места;
• транслировать информацию
о транзакции и состоянии счёта по
защищённым электронным каналам.
Если электронная пересылка невозможна, информация должна передаваться другим способом с соблюдением мер безопасности (например,
с использованием защищённых магнитных носителей);
• использовать соответствующие аутентификационные механизмы для
подтверждения доступа к информации о транзакции и состоянии счёта;
• вести аудит событий (кто осуществляет доступ к информации, время
начала и завершения доступа, какая
информация была затребована);
• обладать инструментами контроля за “человеческим фактором”
(данный пункт раскрывается в разделе “Человеческий фактор” “Практического руководства по информационной безопасности” Visa International
(Account Information Security
Best Practices Guide), прилагающегося к “Стандартам информационной безопасности”);
• разделять критические для безопасности информации о транзакции
и состоянии счёта функции таким
образом, чтобы отдельный человек
не мог разрушить целостность системы или механизмов защиты информации;
• принимать, публиковать и внедрять
соответствующие схемы для выработки методологии, которая позволяет предохраняться от передачи информации о транзакции и состоянии счёта любой организации, которая может использовать данную информацию для мошеннических операций или же организации, вовлечённой в деятельность криминальных структур;
• принимать, публиковать и внедрять
соответствующие схемы для выработки методологии, которая позволяет идентифицировать несанкционированный доступ к информации
о транзакции и состоянии счёта. Там
же, где подобный несанкционированный доступ был обнаружен, члены ассоциации обязаны провести
расследование инцидента и подготовить аналитический отчёт, который
может периодически использоваться
для коррекции действий и в целях
аудиторской проверки;
• никакой торговец не имеет права
открывать информацию о транзакции и состоянии счёта третьей стороне, за исключением эквайрера или
агента эквайрера.
Соглашения
Все организации, имеющие доступ
к информации о транзакции и состоянии счёта, должны придерживаться следующих правил:
• соглашения, контракты и соответствующие формы, используемые
для определения ответственности
агентов и торговцев, должны ясно
устанавливать границы их ответственности в соответствии с предписанными ассоциацией Visa International
стандартами;
• соглашение или контракт должны
допускать ограничение услуг, нарушающих стандарты, установленные
ассоциацией Visa International для
использования и защиты информации о транзакции и состоянии счёта, и предоставлять возможность
для осуществления инспекции и аудита членов ассоциации Visa International.
Обязанности членов
ассоциации
Члены ассоциации Visa International
должны:
• проводить инспекцию агентов
и торговцев, чтобы убедиться в их
способности поддерживать соответствующий уровень стандартов
безопасности и процедур, предохраняющих от несанкционированного доступа к информации о транзакции и состоянии счёта. Альтернативный вариант: члены ассоциации могут пользоваться услугами
агентов, сертифицированных ассоциацией Visa International;
• проводить инспекцию и утверждение корректирующих планов организаций, которые классифицируются как предприятия повышенного риска, до тех пор, пока они не
выйдут из данной категории;
• представлять ежегодный отчёт по
осуществлению мер безопасности.
Должностное лицо, ответственное
за проведение аудита, должно предоставлять Visa International сертификат, подтверждающий, что член
ассоциации проводит аудит и соответствует стандартам Visa International,
включая наблюдение за соблюдением данных стандартов агентами и торговцами;
• включать в ежегодную сертификацию список всех агентов и торговцев, которые не соответствуют
стандартам безопасности, и описывать их статус, в том числе – перечень действий, осуществляемых
и планируемых с целью исправления существующего положения дел.
Члены ассоциации должны нести
полную ответственность за всех
своих агентов и торговцев;
• защитить и обезопасить Visa International
и членов ассоциации от
всех обязательств, которые могут
возникнуть вследствие различного
рода действий и упущений их агентов и торговцев.
Агенты
Провайдеры услуг (таких как процессинг данных, обработка транзакций, передача данных), должны
предоставлять тот же уровень контроля и защиты, который обеспечивается ими внутри организации.
Контракт должен включать элементы, необходимые для соответствия требованиям “Стандартов
информационной безопасности”
ассоциации Visa International. Если
частная информация была скомпрометирована в результате инспекционной проверки, осуществлённой членом ассоциации, право
инспекции должно быть делегировано аудиторской фирме, признаваемой как Visa International, так
и членом ассоциации. Проверка
системы безопасности поставщика
услуг должна определить, соответствует ли она требованиям “Стандартов информационной безопасности” Visa International. Какие-либо несоответствия должны быть
исправлены.
В дополнение к требованиям информационной безопасности контракт с провайдером должен включать пункт договора, не подлежащий огласке, предусматривающий
ответственность сторон за потери,
понесённые в результате нарушения
режима информационной безопасности.
Угрозы и система контроля
Система контроля включает в себя
меры по предотвращению несанкционированной модификации информации о транзакции и состоянии счёта, независимо от того, случайный или преднамеренный характер она имела.
Логический контроль
доступа к информации
Контроль доступа является комплексом мер, позволяющих организовать доступ исключительно
авторизованных пользователей
к информации о транзакции и состоянии счёта или к устройствам,
осуществляющим обработку информации. Чтобы достигнуть требуемого уровня системы безопасности необходимо использовать
следующие контролирующие механизмы.
Идентификация пользователей –
каждому индивидуальному пользователю информационных устройств должен быть присвоен уникальный идентификатор. Большинство операционных систем и прикладного программного обеспечения поставляются с предустановленными опциями, позволяющими
пользователю осуществлять широкий набор действий, включая инсталляцию, изменение и удаление,
а также возможность предоставления другим пользователям доступа
к информационным ресурсам. Члены ассоциации, агенты и торговцы
обязаны назначать идентификаторы индивидуальным пользователям,
чтобы любое действие в системе
было связано с определённым пользователем. Также необходимо изменить все пароли и опции, задаваемые в программном обеспечении
“по умолчанию”. “Руководство по
информационной безопасности”
включает специальный раздел “Контроль логического доступа”, содержащий дополнительные рекомендации по управлению идентификаторами.
Аутентификация пользователей–
осуществляется с использованием
статических и динамических паролей, а также биометрических методов.
Статические пароли задаются
самим пользователем. Для обеспечения точной аутентификации посредством статического пароля необходимо:
• потребовать от пользователя, чтобы он выбрал для себя пароль;
• назначить предварительный (инициализирующий) пароль, который
обязательно должен быть изменён
новым пользователем после первого входа в систему;
• не использовать одинаковый
предварительный (инициализирующий) пароль для всех новых пользователей;
• требовать ввода старого пароля
при переходе на новый пароль;
• защищать хранимые пароли, используя нереверсивное шифрование;
• не выводить пароли на дисплей
и другие устройства вывода информации.
Динамические пароли генерируются системными устройствами для
каждого нового доступа. Они аутентифицируют пользователя, используя определённую информацию, которая может быть известна только
конкретному пользователю.
Для обеспечения точной аутентификации посредством динамического пароля необходимо:
• выбрать средства аутентификации, требующие ввода пользовательского идентификационного номера (PIN) или биометрических
данных для активации механизма
доступа к информации;
• требовать, чтобы случайно генерируемые пароли использовались
только один раз;
• запрещать использование легко
угадываемых генерируемых паролей;
• требовать, чтобы ключи и другая
критическая для аутентификации
информация была зашифрована;
• обеспечить защиту устройств от
взлома и дублирования;
• осуществлять регулярную проверку состояния устройств, обеспечивающих безопасность;
• уничтожать существующие записи
о правах доступа при переназначении прав пользователя.
Биометрическая аутентификация использует информацию об
уникальных биологических характеристиках пользователя. Для использования биометрической аутентификации необходима уверенность в способности технических
устройств производить однозначную идентификацию личности. Биометрическая информация хранится в базе данных, которая должна
быть защищена от несанкционированного доступа.
Средства контроля доступа
операционной системы – программное обеспечение, предоставляющее доступ в многопользовательском интерфейсе, должно предоставлять механизмы, ограничивающие допуск индивидуальных
пользователей только той частью
информационных ресурсов,
для работы с которой они авторизованы.
Аудит
Аудит событий предоставляет существенную информацию для выяснения возникающих проблем.
Для обеспечения раннего обнаружения несанкционированного доступа должны выполняться следующие нормативы по аудиту:
• фиксация доступа к информации
о транзакции и состоянии счёта,
включая доступ только на уровне
чтения;
• фиксация доступа к сетевым сервисам;
• фиксация применения специализированных прав доступа, таких как
команды администратора системы,
выход из строя идентификатора,
функции супервизора, приводящие
к прерыванию нормального течения процессов в системе.
Журналы аудита должны аккумулировать возможно большее количество информации:
• идентификацию пользователей;
• использование или изменение информационных ресурсов;
• дату и время событий;
• адрес рабочей станции, с которой
поступил запрос, и сетевой путь;
• спецификации прошедшей транзакции или выполненной программы.
Информация в журналах аудита
должна храниться в течение определённого периода времени, но не
менее 6 месяцев.
Руководство по информационной безопасности включает раздел
“Логический контроль доступа”, содержащий дополнительную информацию и правила проведения аудита системы.
Компьютеры
Компьютеры находятся в эпицентре
дискуссий о способах поддержания
безопасности. Под термином “компьютеры” здесь рассматриваются
мейнфреймы, мини-компьютеры,
микрокомпьютеры, лэптопы, ноутбуки, палмтопы, серверы, рабочие
станции, корпоративные и персональные компьютеры и др. Следующие меры безопасности должны соблюдаться для обеспечения безопасности компьютерной системы
организации.
Физическая защита
Оборудование, обеспечивающие
хранение и обработку информации
о транзакции и состоянии счёта,
должно располагаться на охраняемой территории. Необходимо обеспечить физический контроль доступа к информационным системам.
Для предохранения оборудования
от физических повреждений необходимо жёстко ограничить доступ
к нему авторизованного персонала.
Необходимо записывать информацию о входе и выходе с охраняемой
территории. Допуск на территорию
разрешается только после соответствующей идентификации.
Поскольку критически важная
информация может быть записана
на различных носителях: жёстких
дисках, дискетах и других магнитных накопителях, компакт-дисках,
микрофишах и др., члены ассоциации, агенты и торговцы должны
быть уверены, что доступ к этим носителям ограничен авторизованным персоналом. Перед утилизацией носителей вся информация на
них должна быть уничтожена.
Если информация должна быть
вынесена за рамки охраняемой территории, необходимо использовать
дополнительные меры для её защиты от несанкционированного доступа: использовать шифрование
информации; специальные службы
курьерской доставки; телекоммуникационные устройства, обеспечивающие стандарты безопасности.
Обслуживание оборудования – для
обеспечения поддержания соответствующего уровня безопасности необходимо проводить все профилактические работы и модификации оборудования только авторизованным
персоналом, перед сеансом обслуживания и после него необходимо проводить тестирование оборудования.
Мониторинг доступа – для усиления механизмов физического
контроля необходимо проводить
процесс аудита событий.
Дополнительные рекомендации по
обеспечению физической защиты –
“Руководство по информационной
безопасности” включает раздел “Безопасность программных компонентов, физическая защита информации”, содержащий дополнительную информацию по выработке эффективной системы физического
контроля доступа к информации.
Сети
В “Стандартах” под сетью понимается
объединение информационных
и коммуникационных ресурсов, которые позволяют компьютерам и персоналу осуществлять доступ и трансляцию информации. Сеть может состоять из двух соединённых компьютеров, или представлять собой всемирную систему авторизации платежей (например, такую как VisaNet).
Целостность сети – для предотвращения захвата сетевого соединения во время случайного или намерения прерывания коммуникационной линии необходимо обеспечить
сеть устройствами контроля, которые сообщают о прерываниях линий коммуникаций и временных
прерываниях; необходимо также
проводить повторную авторизацию
после подобных прерываний.
Контроль доступа – для защиты
от модификации или уничтожения
информации в результате несанкционированного доступа или использования коммуникационных устройств
необходимо назначать права доступа
на минимально необходимом уровне. Там, где это возможно, следует ограничить доступ определённым набором программ, определённой информацией, датой и временем.
Коммутируемый доступ – данный вид доступа определяется как
доступ к информационным ресурсам через общественные или
частные сети. Чтобы не компрометировать систему безопасности при
коммутируемом доступе, необходимо установить условия, при которых
данный вид доступа будет разрешён.
Следует установить дополнительные
средства контроля, такие как:
• маркерные аутентификационные
устройства;
• модемы, обеспечивающие парольную защиту;
• программное обеспечение удалённого доступа, обеспечивающее
усиленную парольную защиту;
• цифровые сертификаты;
• мощные криптографические алгоритмы для защиты статических паролей.
Соединение с другими сетями –
для поддержания необходимого
уровня безопасности при работе
в сети, когда она выходит за рамки
одной организации, необходимо осуществить следующие мероприятия:
• требовать специальной авторизации при работе с внешней сетью;
• ограничить поток сообщений из
внешней сети исключительно теми
сообщениями, которые авторизованы для определённых деловых целей;
• для предотвращения несанкционированного доступа к информации о транзакции и состоянии
счёта следует блокировать те запросы из внешней сети, которые
пытаются давать управляющие команды компьютерам в сети организации, изменять файлы, пересылать файлы;
• проводить независимое тестирование устройств контроля, отвечающих за фильтрацию сообщений из
внешней сети;
• скрывать топологию сети организации от внешних сетей, что достигается посредством переименования внутренних сетевых адресов;
• внедрять устройства контроля, защищающие компьютеры системы,
к которым есть внешний доступ,
для предотвращения компрометации целостности всей организационной сети.
Мониторинг сети – преступники
могут использовать сети для несанкционированного доступа к информационным ресурсам, поэтому следует проводить постоянный мониторинг сети для фиксации попыток
проникновения. Мониторинг в режиме реального времени предпочтительнее периодического, поскольку
позволяет минимизировать ущерб от
взлома сети. Когда организационная
сеть подсоединена в внешней сети,
например, к сети Интернет, мониторинг сети для предотвращения внешних атак должен вестись с применением дополнительных средств контроля. Сетевой мониторинг должен
быть способным осуществлять следующие операции:
• идентифицировать стандартные
способы сетевых атак;
• идентифицировать новейшие оригинальные способы сетевых атак;
• перехватывать информацию для
идентификации возможных источников атак и тех компонентов системы, которые могли быть данной
атакой скомпрометированы.
Полный текст статьи читайте в журнале «ПЛАС» № 8 (58) ’2000 стр. 37