140 likes | 329 Views
Обеспечение информационной безопасности в соответствии со стандартом Индустрии платежных карт (PCI DSS). Председатель НП «АБИСС» - Павел Гениевский. Требования по ИБ к кредитным организациям.
E N D
Обеспечение информационной безопасности в соответствии со стандартом Индустрии платежных карт (PCI DSS). • Председатель НП «АБИСС» - Павел Гениевский
Требования по ИБ к кредитным организациям • Положение Банка России от 09.06.2012 № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» • Указание Банка России от 09.06.2012 № 2831-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств» • ФЕДЕРАЛЬНЫЙ ЗАКОН ОБ ИНФОРМАЦИИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ И О ЗАЩИТЕ ИНФОРМАЦИИ N 149-ФЗ • ФЕДЕРАЛЬНЫЙ ЗАКОН О ПЕРСОНАЛЬНЫХ ДАННЫХ №152 • Постановление Правительства Российской Федерации №1119 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных • Федеральный закон Российской Федерации №161-ФЗ О национальной платежной системеи другие
Об НП «АБИСС» Некоммерческое партнерство «Сообщество пользователей стандартов по информационной безопасности АБИСС»является некоммерческой организацией и создано в целяхреализации стандартов и правил, направленных на обеспечение информационной безопасности в кредитных и других организациях – субъектов национальной платежной системы Российской Федерации НП «АБИСС» аккредитовано при Роскомнадзоре в качестве экспертной организации, привлекаемой к проверкам, проводимым уполномоченным органом, которые предусмотрены Федеральным законом «О персональных данных» (Свидетельство об аккредитации №28 от 25.04.2012 года.) НП «АБИСС» входит в состав ТК 122 Подкомитета №1 « Обеспечение безопасности банковской деятельности и финансовых операций» НП «АБИСС» взаимодействует с PCI Council (стандарты PCI DSS/PA DSS)
Стандарты PCI SSC • Payment Card Industry Data Security Standard (PCI DSS) — стандарт безопасности данных индустрии платёжных карт, в настоящий момент сопровождаемый Советом по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC).www.pcisecuritystandards.org • PIN Transaction Security (PCI PTS) - регламентирует защиту от физического вмешательства, криптопроцессы, и другие средства защиты PIN-кода • Payment Application Data Security Standard (PA-DSS) - регламентирует безопасность платежных приложений для совместимости с требованиями PCI DSS.
Цикл обновлений стандарта PCI DSS и PA-DSS Этап 1: ИзданиеСтандартов Этап 2: Вступление Стандартов в силу Этап 3: Внедрениерынка Этап 4: Отзывы Этап 5: Удаление старых Стандартов Этап 6: Обзор Отзывов Этап 7: Пересмотр Проекта Этап 8: Заключительный Обзор
Структура стандарта PCI DSS • Стандарт PCI DSS состоит из 12 групп требований по обеспечению безопасности данных о держателях платежных карт • Текущая версия стандарта PCI DSS v.2.0принята в октябре 2010 года. https://www.pcisecuritystandards.org/security_standards/documents.php • PCI Security Standards Council решил, что новые версии стандарта будут выходить каждые 3 года Стандарт безопасности данных индустрии платежных карт • Требования и процедуры оценки безопасности вспомогательные документы по стандарту • документы по merchant (торгово-сервисными предприятиям) • Ориентирование в PCI DSS • Лист самооценки SAQ) А, B, C, DСвидетельства о соответствии стандарту Глоссарий PCI DSS • Лист самооценки . Инструкции по заполнению ROCReportingInstructions
Методы защиты информации Основные методы защиты информации (в отношении PCI DSS) Группа инженерно-технических методов Группа программно-аппаратных методов Группа организационных методов обеспечения • резервирование • выделенные каналы • Организационно-административные • Организационно-методические • Ежегодно требуется : • свидетельства о действенности защитных мер • устранение выявленных недостатков • обновленные версии документов
Категории торгово-сервисных предприятий (merchant) и Лист Самооценки (SAQ)
Частые проблемы • Общая проблема • недостаточное внимание документам PCI и платежных систем стандартрассматривается не как обязательный, а как весьма дискуссионный и рекомендательный • поверхностное внимание к текстам документов PCI и платежных систем (по диагонали) • Проблемы проектного управления или проекта в целом • Проектная команда, культура проектного управления и ожидания от проекта • Проблемы с поддержкой сертификата • пересмотр PCI Scope (поменяли бизнес-процесс, изменения в системе, outsourcing) • ежеквартальные сканирования и pentest(внутренние и внешние) • устранение замечаний аудитора (с прошлого аудита) • регулярные процедуры (нужны «свидетельства», что все исполняется) • регулярный пересмотр документов и настроек систем • пересмотр компенсационных мер (… отказ в пользу положений стандарта) • анализ изменений стандарта PCI или дополнений/разъяснений к нему
Частые проблемы (Выполнение требований) • PCI Scoping • плоская (не сегментированная) «общебанковская» сеть в т.ч. ATM • за основу IT-системы, а не бизнес-процессы (или de facto) • забывают про merchant (ТСП), АТМ, аутсорсеров и определить все внешние IP среды платежных карт для сканирования и pentest • Стандарты конфигурации • Гл.1 (1.1) часто остаются формальным документом, не соответствуют реальным настройкам, не пересматриваются • Хранение критичных данных (гл.3) • Нередко CHD обнаруживаются вне scope (рабочие станции, e-mail) • (3.1) CHD хранятся неоправданно долго, забывают про время их хранение в backup • (3.3.) PAN в немаскированном виде - используется как идентификатор клиента, отображается неоправданно многим сотрудникам • (3.4) PAN в нечитаемом виде (шифрование/ редуцированный…) – в СУБД, backup, pre-production системах
Частые проблемы (Выполнение требований) • Pre-production системы • тестовые базы данных; требования, как и к production системе • Антивирусные системы • (Гл.5) не на всех системах, не налажено обновление • Patching • (Гл.6) не выдерживаются сроки установки обновлений безопасности • Мониторинг / протоколирование событий • (гл.10) не все события журналируются, журналы не анализируются раз в день, журналы защищены от подмены, backup копии не хранятся (min год). Синхронизация времени на критических системах не обеспечена • Средства контроля целостности критичных файлов • (п.11.5) не внедрены вообще