1 / 14

Требования по ИБ к кредитным организациям

Обеспечение информационной безопасности в соответствии со стандартом Индустрии платежных карт (PCI DSS). Председатель НП «АБИСС» - Павел Гениевский. Требования по ИБ к кредитным организациям.

mostyn
Download Presentation

Требования по ИБ к кредитным организациям

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Обеспечение информационной безопасности в соответствии со стандартом Индустрии платежных карт (PCI DSS). • Председатель НП «АБИСС» - Павел Гениевский

  2. Требования по ИБ к кредитным организациям • Положение Банка России от 09.06.2012 № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» • Указание Банка России от 09.06.2012 № 2831-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств» • ФЕДЕРАЛЬНЫЙ ЗАКОН ОБ ИНФОРМАЦИИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ И О ЗАЩИТЕ ИНФОРМАЦИИ N 149-ФЗ • ФЕДЕРАЛЬНЫЙ ЗАКОН О ПЕРСОНАЛЬНЫХ ДАННЫХ №152 • Постановление Правительства Российской Федерации №1119 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных • Федеральный закон Российской Федерации №161-ФЗ О национальной платежной системеи другие

  3. Об НП «АБИСС» Некоммерческое партнерство «Сообщество пользователей стандартов по информационной безопасности АБИСС»является некоммерческой организацией и создано в целяхреализации стандартов и правил, направленных на обеспечение информационной безопасности в кредитных и других организациях – субъектов национальной платежной системы Российской Федерации НП «АБИСС» аккредитовано при Роскомнадзоре в качестве экспертной организации, привлекаемой к проверкам, проводимым уполномоченным органом, которые предусмотрены Федеральным законом «О персональных данных» (Свидетельство об аккредитации №28 от 25.04.2012 года.) НП «АБИСС» входит в состав ТК 122 Подкомитета №1 « Обеспечение безопасности банковской деятельности и финансовых операций» НП «АБИСС» взаимодействует с PCI Council (стандарты PCI DSS/PA DSS)

  4. Стандарты PCI SSC • Payment Card Industry Data Security Standard (PCI DSS) — стандарт безопасности данных индустрии платёжных карт, в настоящий момент сопровождаемый Советом по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC).www.pcisecuritystandards.org • PIN Transaction Security (PCI PTS) - регламентирует защиту от физического вмешательства, криптопроцессы, и другие средства защиты PIN-кода • Payment Application Data Security Standard (PA-DSS) - регламентирует безопасность платежных приложений для совместимости с требованиями PCI DSS.

  5. Цикл обновлений стандарта PCI DSS и PA-DSS Этап 1: ИзданиеСтандартов Этап 2: Вступление Стандартов в силу Этап 3: Внедрениерынка Этап 4: Отзывы Этап 5: Удаление старых Стандартов Этап 6: Обзор Отзывов Этап 7: Пересмотр Проекта Этап 8: Заключительный Обзор

  6. Применение стандарта PCI DSS

  7. Структура стандарта PCI DSS • Стандарт PCI DSS состоит из 12 групп требований по обеспечению безопасности данных о держателях платежных карт • Текущая версия стандарта PCI DSS v.2.0принята в октябре 2010 года. https://www.pcisecuritystandards.org/security_standards/documents.php • PCI Security Standards Council решил, что новые версии стандарта будут выходить каждые 3 года Стандарт безопасности данных индустрии платежных карт • Требования и процедуры оценки безопасности вспомогательные документы по стандарту • документы по merchant (торгово-сервисными предприятиям) • Ориентирование в PCI DSS • Лист самооценки SAQ) А, B, C, DСвидетельства о соответствии стандарту Глоссарий PCI DSS • Лист самооценки . Инструкции по заполнению ROCReportingInstructions

  8. Методы защиты информации Основные методы защиты информации (в отношении PCI DSS) Группа инженерно-технических методов Группа программно-аппаратных методов Группа организационных методов обеспечения • резервирование • выделенные каналы • Организационно-административные • Организационно-методические • Ежегодно требуется : • свидетельства о действенности защитных мер • устранение выявленных недостатков • обновленные версии документов

  9. Стандарт PCI DSS

  10. Категории торгово-сервисных предприятий (merchant) и Лист Самооценки (SAQ)

  11. Частые проблемы • Общая проблема • недостаточное внимание документам PCI и платежных систем стандартрассматривается не как обязательный, а как весьма дискуссионный и рекомендательный • поверхностное внимание к текстам документов PCI и платежных систем (по диагонали) • Проблемы проектного управления или проекта в целом • Проектная команда, культура проектного управления и ожидания от проекта • Проблемы с поддержкой сертификата • пересмотр PCI Scope (поменяли бизнес-процесс, изменения в системе, outsourcing) • ежеквартальные сканирования и pentest(внутренние и внешние) • устранение замечаний аудитора (с прошлого аудита) • регулярные процедуры (нужны «свидетельства», что все исполняется) • регулярный пересмотр документов и настроек систем • пересмотр компенсационных мер (… отказ в пользу положений стандарта) • анализ изменений стандарта PCI или дополнений/разъяснений к нему

  12. Частые проблемы (Выполнение требований) • PCI Scoping • плоская (не сегментированная) «общебанковская» сеть в т.ч. ATM • за основу IT-системы, а не бизнес-процессы (или de facto) • забывают про merchant (ТСП), АТМ, аутсорсеров и определить все внешние IP среды платежных карт для сканирования и pentest • Стандарты конфигурации • Гл.1 (1.1) часто остаются формальным документом, не соответствуют реальным настройкам, не пересматриваются • Хранение критичных данных (гл.3) • Нередко CHD обнаруживаются вне scope (рабочие станции, e-mail) • (3.1) CHD хранятся неоправданно долго, забывают про время их хранение в backup • (3.3.) PAN в немаскированном виде - используется как идентификатор клиента, отображается неоправданно многим сотрудникам • (3.4) PAN в нечитаемом виде (шифрование/ редуцированный…) – в СУБД, backup, pre-production системах

  13. Частые проблемы (Выполнение требований) • Pre-production системы • тестовые базы данных; требования, как и к production системе • Антивирусные системы • (Гл.5) не на всех системах, не налажено обновление • Patching • (Гл.6) не выдерживаются сроки установки обновлений безопасности • Мониторинг / протоколирование событий • (гл.10) не все события журналируются, журналы не анализируются раз в день, журналы защищены от подмены, backup копии не хранятся (min год). Синхронизация времени на критических системах не обеспечена • Средства контроля целостности критичных файлов • (п.11.5) не внедрены вообще

  14. Спасибо за внимание!

More Related