4 декабря 2012, 12:36
Количество просмотров 458

Управление соответствием PCI DSS

Часть II. Инфраструктура и область применимости Сергей Шустиков, генеральный директор компании Deiteriy, CISA, PCI QSA, PCI PA-QSA Продолжаем цикл...
Управление соответствием PCI DSS

Часть II. Инфраструктура и область применимости


Сергей Шустиков, генеральный директор компании Deiteriy, CISA, PCI QSA, PCI PA-QSA


Продолжаем цикл статей1, посвященных обзору индустрии платежных карт и системе сертификации PCI DSS. В этот раз речь пойдет об определении области применимости требований стандарта в инфраструктуре компании, а также о методах ее сужения – с целью минимизации затрат на приведение инфраструктуры в соответствие требованиям стандарта PCI DSS.


Область применимости стандарта PCI DSS

В предыдущей статье цикла мы рассмотрели структуру индустрии платежных карт и выяснили, для каких именно ее участников обязательно соответствие требованиям международного стандарта безопасности данных индустрии платежных карт – PCI DSS. Кроме того, там же были описаны способы подтверждения соответствия и методика их выбора.

В сегодняшнем материале мы сосредоточимся на отдельно взятой компании и рассмотрим ее информационную инфраструктуру, вовлеченную в процесс обработки карточных данных.

Прежде всего согласимся со вполне очевидным тезисом о том, что информационная инфраструктура по своей природе гетерогенна и многослойна. Существует уровень бизнес-приложений, которые для работы используют файлы и базы данных. Последние – вместе с приложениями – работают на серверах, которые, в свою очередь, опираются на уровень сетевого взаимодействия. Сегодня все чаще к такой структуре добавляется еще один уровень – уровень среды виртуализации.

Обеспечение информационной безопасности – процесс комплексный и многофакторный. Когда стоит задача защитить определенный вид данных, в нашем случае – данных о держателях платежных карт, нельзя ограничиться применением защитных мер лишь на каком-то одном отдельном уровне. Так, если мы внедрим межсетевые экраны и забудем о безопасности web-приложений, то злоумышленник непременно воспользуется такой оплошностью. Точно так же, если будут защищены приложения и сетевая инфраструктура, но возможность прямого взаимодействия с базой данных останется, то смысла в наших действиях все равно не будет.

Таким образом, если мы действительно хотим защитить данные, то должны действовать на всех уровнях: безопасно обрабатывать данные в приложениях, безопасно хранить их в базах данных на безопасно настроенных серверах, взаимодействующих в безопасной сети. Естественно, не должна быть забыта и физическая защита, особенно в том случае, если инфраструктура расположена в стенах подконтрольного нам здания.

Важно помнить, что соответствовать требованиям стандарта PCI DSS должна не вся информационная инфраструктура компании, а только та ее часть, в которой обрабатываются карточные данные, а если быть точным – все компоненты информационной инфраструктуры, хранящие, обрабатывающие и передающие данные о держателях платежных карт, плюс смежные информационные системы. Под смежными в данном случае понимаются те системы, соединения с которыми не защищены корректно настроенными межсетевыми экранами.

Управление соответствием PCI DSS - рис.1

Эквайринг или эмиссия?

 Следует также различать области QSA-аудита от области применимости требований стандарта PCI DSS. Заметим, что для многих организаций эти области совпадают, однако исключением из этого правила являются банки, которые осуществляют в своей информационной инфраструктуре как процесс эквайринга платежных карт, так и процесс их эмиссии, обрабатывая при этом карточные данные. Поэтому область применимости требований стандарта PCI DSS для банков – это компоненты как из эквайринговой части инфраструктуры, так и из эмиссионной. Таким образом, везде, где есть хотя бы один номер карты (PAN) – неважно, «своей» карты, или карты, эмитированной другим банком, – применимы требования стандарта PCI DSS.

Управление соответствием PCI DSS - рис.2Управление соответствием PCI DSS - рис.3

С областью же QSA-аудита ситуация не так однозначна. На сегодня порядок, установленный международными платежными системами, таков: эквайринговая часть инфраструктуры, то есть те компоненты, где хотя бы теоретически может быть обработан, передан или сохранен номер карты, эмитированной другим банком, обязательно входит в область QSA-аудита. Эмиссионная же часть – т.е. все компоненты, где обрабатываются только номера «своих» карт, включается в область QSA-аудита по желанию аудируемого банка. Эта информация была получена автором статьи на ежегодном мероприятии PCI Security Standards Council European Community Meeting от представителей топ-менеджмента международных платежных систем – Майкла Грина (Michael Green), вице-президента MasterCard Worldwide, и Шейна Болфе (Shain Balfe), менеджера по безопасности Visa Europe. Тем не менее и тут есть исключение: по прямому требованию международной платежной системы эмиссионная часть информационной инфраструктуры банка также может быть включена в область QSA-аудита.

На практике это выглядит следующим образом. QSA-аудиторы компании Deiteriy на этапе предварительного аудита проводят полное обследование банка. Затем, основываясь на полученных результатах и комментариях аудиторов к ним, специалисты банка принимают решение о том, включать ли всю инфраструктуру банка в процесс внедрения PCI DSS или же, если объемы планируемых работ существенно различаются, заняться на первом этапе проекта только эквайринговой частью, а эмиссионную часть оставить на более поздний этап доработки. Такой подход позволяет банку поэтапно расходовать средства на достижение соответствия стандарту PCI DSS и больше соответствует духу риск-ориентированного подхода к обеспечению информационной безопасности.

Управление соответствием PCI DSS - рис.4

Описание информационной инфраструктуры

Описание области информационной инфраструктуры, на которую распространяются требования стандарта PCI DSS, состоит из трех компонентов – схемы сетевого уровня, схемы потоков данных о держателях карт и перечня компонентов информационной инфраструктуры. Согласно правилам проведения QSA-аудита все эти три компонента в обязательном порядке должны присутствовать в отчете о соответствии (Report on Compliance, ROC), подготовленном QSA-аудитором.

Таким образом, наличие в отчете подробной схемы сети, детального описания потоков данных о держателях карт, а также перечня компонентов, входящих в область аудита, – это признаки качественной работы QSA-аудитора в соответствии с официальной процедурой. Заказчику мы советуем обращать внимание на это в первую очередь, поскольку полнота и точность описания области, в которой был выполнен аудит, является предметом проверки процедуры контроля качества (Quality Assurance, QA), выборочно выполняемой регулятором отрасли – Советом PCI SSC.

Сужение области применимости стандарта PCI DSS

Для чего необходимо сужать область применимости стандарта PCI DSS? Формальный и буквальный подход к внедрению стандарта PCI DSS – гарантированный способ сделать проект бесконечным, и по срокам, и по деньгам. Никто, разумеется, не запрещает организации привести в соответствие лучшим мировым практикам всю сеть компании, включая те ее сегменты, где критичных данных никогда не было, нет и не предвидится. Однако такой вариант «внедрения стандартов PCI DSS» не отвечает духу риск-ориентированного подхода к обеспечению информационной безопасности: избыточные меры защиты вредны для организации, – и не только по причине заметных расходов. В процессе снижения рисков, связанных с безопасностью данных, следует искать не «абсолютную защиту», а компромисс между защищенностью и функциональностью бизнес-процессов, иначе можно необратимо снизить эффективность ежедневной работы сотрудников, а процедуру их доступа к рабочей информации сделать неприятной рутиной. Поэтому очевидно, что защитные меры нужно применять точечно – именно там, где они действительно нужны.

 Лучшим способом сужения области применимости PCI DSS, исходя из самого ее определения, является модернизация бизнес-процессов, ведущая к упорядочению потоков карточных данных внутри организации и к снижению количества компонентов, которые задействованы в обработке, передаче или хранении этих данных. Когда потоки данных упорядочены, их можно компактно разместить внутри ограниченного сегмента информационной инфраструктуры.

Там, где нет прямой необходимости использовать номер карты в открытом виде – скажем, если он используется лишь как уникальный идентификатор клиента, – его лучше заменить на что-то другое. Например, вместо номера карты можно использовать уникальное значение – токен, который может эффективно выполнять функцию идентификации, но при этом не будет так критичен с точки зрения конфиденциальности, как номер карты. Можно использовать и хэш-значение от номера карты или его маскированное значение вида 123456** **** 7890. Эти данные уже не являются карточными, и на них не распространяются требования PCI DSS.

Следствием минимизации количества компонентов, обрабатывающих карточные данные, будет также повышение уровня безопасности, поскольку в инфраструктуре уменьшится количество потенциально уязвимых мест.

Для изоляции компактного сегмента обработки данных о держателях карт от остальной информационной инфраструктуры организации применяются два основных метода: межсетевое экранирование и шифрование передаваемых данных. Идеологию их применения понять несложно: серверы, на которых работают карточные приложения и базы данных, следует собрать в один сегмент, который будет отделен от остальной сети корректно настроенными межсетевыми экранами. Все выходящие за пределы изолированного сегмента потоки карточных данных следует шифровать: это может быть VPN, SSL, пересылка зашифрованного архива или любой другой механизм безопасной передачи данных. При наличии описанной конфигурации за локализацию проблемы защиты карточных данных в изолированном сегменте можно не беспокоиться.

Рабочие станции пользователей лучше всего оставить вне области применимости требований стандарта PCI DSS, применяя для них различные механизмы удаленного и терминального доступа. Естественно, при этом канал связи с выделенным сегментом обработки карточных данных должен быть зашифрован, а для доступа пользователей следует применять надежные механизмы аутентификации.

Следующая, третья статья нашего цикла, посвященного управлению соответствием PCI DSS, будет посвящена тому, как выполнить требования стандарта PCI DSS в изолированном сегменте и как успешно пройти сертификационный QSA-аудит.

1 Открывает цикл статья «Управление соответствием PCI DSS. Часть I. Индустрия, стандарт и сертификация», «ПЛАС» №4/2012.

Рубрика:
{}
Теги:
#

PLUSworld в соцсетях:
telegram
vk
dzen
youtube