Бабенко Алексей старший аудитор описание применение соответствие «Информационная безопасность 2011: противодействие внешним и внутренним угрозам» г. Алмата, 18 марта 2011 года, отель Intercontinental PCI DSS

О чем пойдет речь? DSS для PCI Основные требования стандарта Внутренняя кухня DSS Путь к соответствию за 10 шагов Сопутствующие стандарты

История возникновения Старт программ CISP/AIS/SDP 2010 Стандарт PCI DSS new Первая сеть VISA ATM 83 $ 300 млн. мошеннических транзакций $ 36 млн. мошеннических транзакций $ млн. мошеннических транзакций 1 млд. карт Visa и MasterCard

Область применения стандарта PCI DSS применим к любой организации, которая хранит, передает или обрабатывает данные платежных карт Поставщики услуг Levels 1-2 Соответствие контролируется платежными системами Члены платежных систем Сервис- провайдеры Торговое сервисные организации Levels 1-4 Соответствие контролируется банками-эквайерами Магазины и торговые сети Интернет- магазины

Безопасность данных платежных карт Элемент данных Хранение разрешено Требуется защита PCI DSS 3.4 Данные платежных карт (сardholder data) Номер карты (PAN) Да Имя держателя карты (Cardholder Name) Да Нет Сервисный код (Service Code) Да Нет Дата истечения срока действия (Expiration Date) Да Нет Критичные данные авторизации (sensitive authentication data) Полное содержание магнитной полосы (Full Magnetic Stripe) Нет-- CVC2/CVV2/CIDНет-- PIN / PIN BlockНет--

Требования стандарта (1 из 2) Обеспечение разработки и управления конфигурацией межсетевых экранов Изменение параметров безопасности и системных паролей, установленных по умолчанию Построение и поддержание защищенной сети Обеспечение защиты данных платежных карт при хранении Обеспечение шифрования данных платежных карт при передаче по общедоступным сетям Защита данных платежных карт Использование и регулярное обновление антивирусного ПО Обеспечение безопасности при разработки и поддержке систем и приложений Реализация программы управления уязвимостями

Требования стандарта (2 из 2) Ограничение доступа к данным платежных карт в соответствии со служебной необходимостью Назначение уникальных идентификаторов лицам, имеющим доступ к вычислительным ресурсам, парольная политика Ограничение физического доступа к данным платежных карт Реализация мер по строгому контролю доступа Отслеживание и контроль любого доступа к сетевым ресурсам и данным платежных карт Выполнение регулярного тестирования систем и процессов обеспечения безопасности Регулярный мониторинг и тестирование сетей Поддержка и актуализация политик информационной безопасности, регламентирующих деятельность сотрудников и контрагентов Поддержание политики информационной безопасности

Область проверки стандарта Авторизация, клиринг/сеттлмент Мониторинг мошеннических транзакций, разрешение диспутов Поддержка клиентов (call-центр) Аналитика и статистика по транзакциям

Основные изменения Новых глобальных требований не добавилось Уточнен ряд требований, детализация и упрощение восприятия процедур Изменились требования к процедуре определения области оценки (scoping) Усложнение требований 6.2, 6.5.6, 11.2 Вступают в силу с 1 января 2011 года, возможно проведение аудита по версии 1.2 конца 2011 года

Разработка и контроль применения QSA ASV PCI SSC МПС

Ответственность PCI SSC QSA ASV PCI SSC МПС Разработка и публикация стандартов PCI Определение требований к QSA, PA-QSA и ASV Аккредитация компаний и публикация списков QSA, PA-QSA и ASV Обучение и сертификация сотрудников QSA, PA-QSA Контроль качества работ проводимых QSA, PA-QSA и ASV

Ответственность QSA QSA ASV PCI SSC МПС Проведение аудитов в соответствии с утвержденными процедурами Обеспечение поддержки и консультации по выполнению требований до полного соответствия Интерпретация требований стандарта и адекватности компенсационных мер Предоставление отчетности в платежные системы и PCI SSC

Ответственность МПС QSA ASV PCI SSC МПС Утверждение требований к Компаниям QSA, PA-QSA и ASV в составе PCI SSC Определение способов подтверждения соответствия PCI DSS Определения границ области проверки соответствия Штрафы за невыполнение требований

Путь к соответствию Область применения GAP-анализПостроение плана Доработка документов Технические меры Организационные меры Внешнее сканирование Пен-тестАудит Поддержка соответствия

Область применения GAP-анализ Построение плана Доработка документов Технические меры Организацио нные меры Внешнее сканировани е Пен-тестАудит Поддержка соответствия Реестр хранения данных карт (матрица данных) Ресурсы, участвующие в передаче, обработке, хранении данных карт Логическое и физическое размещение ресурсов Dataflow Наличие и механизмы сегментации и экранирования Использование беспроводных технологий

Область применения GAP- анализ Построен ие плана Доработка документов Технические меры Организацио нные меры Внешнее сканировани е Пен-тестАудит Поддержка соответствия Анализируются процессы управления ИТ и безопасностью, а не текущие настройки систем Выявляются несоответствия стандарту По результатам Action plan – Согласованы решения и компенсационные меры – Выбраны технические средства – Одна работа – один ответственный – Приоритет работ с учетом рисков ИБ

Область примененияGAP-анализ Построение плана Доработка документов Технические меры Организацио нные меры Внешнее сканирование Пен-тестАудит Поддержка соответствия Иерархия документов: от политики до процедур и инструкций Не разработка «в стол», а разработка и документирование процессов Определение порядка изменения документов

Область примененияGAP-анализ Построение плана Доработка документов Технические меры Организацион ные меры Внешнее сканирование Пен-тестАудит Поддержка соответствия Использование встроенных защитных механизмов Настройка существующих внешних средств защиты Внедрение программно-технических средств: – «Необходимо» или «полезно» – Перекрывание защитных механизмов – Простота эксплуатации – Возможность масштабирования

Область примененияGAP-анализ Построение плана Доработка документов Технические меры Организацион ные меры Внешнее сканировани е Пен-тестАудит Поддержка соответствия Контролируемость выбранного решения Простота исполнения процедур Наличие «обратной связи» процесса Совершенствование и доработка процедур/регламентов, корректировка мер

Область применения GAP-анализ Построение плана Доработка документов Технически е меры Организаци онные меры Внешнее сканирование Пен-тест Аудит Поддержка соответстви я Проводится после внедрения основных мер Внешнее сканирование проводит PCI ASV Тестирование защищенности выявляет основные недоработки в реализации мер или зоне их охвата Повторение при отрицательном результате

Область примененияGAP-анализ Построение плана Доработка документов Технические меры Организацион ные меры Внешнее сканирование Пен-тест Аудит Поддержка соответствия Процедуры аудита определены PCI SSC Область аудита может быть меньше чем PCI DSS Scope Аудит проводится с применением «выборки» ресурсов, помещений, людей Является «снимком» состояния на момент проведения аудита

Область примененияGAP-анализ Построение плана Доработка документов Технические меры Организацион ные меры Внешнее сканирование Пен-тестАудит Поддержка соответствия PCI Compliance не «вечный двигатель», безопасность это процесс Контрольные процедуры: – Заложенные стандартом (определены периодичность и методы контроля) – Внутренние Изменение инфраструктуры и угроз ИБ

Сопутствующие стандарты PCI PED Производители оборудования PCI PA- DSS Разработчики ПО PCI DSS Мерчанты и процессоры

Payment Application DSS Область применения - любое тиражируемое платежное приложение, используемое для авторизации или клиринга/сеттлмента Необходима сертификация: – POS терминалы, банкоматы, – киоски для оплаты, – системы процессинга и пр. Сертификация не нужна – Приложения собственной разработки для или приложения на заказ – Отдельно стоящие POS терминалы – СУБД – Операционные системы – Web серверы

PIN Entry Devices Цель PCI PED защита чувствительной информации (резидентных ключей, PIN кодов пластиковой карты и др.) устройствами принимающими PIN Программа тестирования и утверждения устройств отражает: – требования безопасности к устройствам; – методология тестирования; – процесс сертификации и утверждения.

Бабенко Алексей старший аудитор +7 (495) доп Вопросы