Здавалка
Главная | Обратная связь

Ключевые требования по организации защиты данных




Ключевые требования по организации защиты данных о держателях платежных карт сформулированы в документе «Стандарт безопасности данных индустрии платежных карт. Требования и процедуры аудита безопасности. Версия 2.0» («Payment Card Industry Data Security Standard. Requirements and Security Assessment Procedures v2.0») и сгруппированы таким образом, чтобы упростить процедуру аудита безопасности. Ниже приведен список 12 требований, находящихся в основе стандарта PCI DSS и объединенных в группы по типам процедур аудита и и их краткий анализ.[4]

1) Требование 1. «Установить и обеспечить функционирование межсетевых экранов для защиты данных о держателях карт».
2) Требование 2. «Не использовать пароли и другие системные параметры, заданные производителем по умолчанию».

Первая группа носит название «Построение и обслуживание защищенной сети» (требования 1 и 2). С первого требования становится понятно, насколько важен процесс сегментации целевой инфраструктуры и на основе каких средств строится этот процесс. Межсетевой экран – основа обеспечения безопасности. Грамотное проектирование циркулируемого траффика приводит в порядок всю инфраструктуру в целом. Тем не менее, в последней версии стандарта все же делается некоторое смягчение формулировки первого требования и подразумевается факт фильтрации и блокировки траффика не только средствами межсетевого экрана.

Помимо осуществления блокирования и фильтрации сетевого траффика на основных компонентах рассматриваемой системы (что в контексте поддерживающих документов означает сервера в исследуемой сети), первое требование содержит пункт 1.4, который подразумевает персональные межсетевые экраны на рабочих станциях сотрудников компании с должной конфигурацией (пользователь не может изменять параметры работы файрволла) – это самая трудноконтролируемая процедура со стороны администратора организации. Второе требование напоминает администраторам сети об обязательном изменении системных параметров, заданных производителем по умолчанию.

3) Требование 3. «Обеспечить безопасное хранение данных о держателях карт».
4) Требование 4. «Обеспечить шифрование данных о держателях карт при их передаче через сети общего пользования».

Группа требований «Защита данных о держателях карт» (требования 3 и 4) рассматривает критичные методы защиты данных (шифрование, политики ключей безопасности и т.п.) и область их применения, в то время как остальные методы защиты информации, описанные в других требованиях, позиционируются в качестве средств снижения рисков компрометации. Данная совокупность требований описывает политику и жизненный цикл ключей безопасности. В связи с тем, что хранение данных о владельцах пластиковых карт в зашифрованном виде позволяет исключить факт их незаконного использования злоумышленником (если тот каким-либо образом он преодолел остальные рубежи защиты), пункты этой группы носят довольно жесткую формулировку, что позволяет однозначно ее интерпретировать объектом и субъектом аудита. Полезной техникой при хранении данных о держателях пластиковых карт, относящихся к персональным данным (информация, относящаяся к определенному физическому лицу), является их «обезличивание» — процедура удаления или независимого хранения фрагментов этих данных, которые сами по себе не могут однозначно идентифицировать своего владельца.

5) Требование 5. «Использовать и регулярно обновлять антивирусное программное обеспечение».
6) Требование 6. «Разрабатывать и поддерживать безопасные системы и приложения».

Группа, объединяющая в себе требования 5 и 6, называется «Управление уязвимостями». Под управлением уязвимостями понимается своевременная установка актуальных обновлений, в том числе и на антивирусное программное обеспечение, разработка, поддерживание и использование безопасных приложений, в том числе и веб-ориентированных.

7) Требование 7. «Ограничить доступ к данным о держателях карт в соответствии со служебной необходимостью».
8) Требование 8. «Назначить уникальный идентификатор каждому лицу, имеющему доступ к информационной инфраструктуре».
9) Требование 9. «Ограничить физический доступ к данным о держателях карт».

Требования 7, 8, 9 объединены в группу «Внедрение строгих мер контроля доступа» и носят организационно-технический характер обеспечения защиты информации с использованием как организационных мер обеспечения безопасности, так и механизмов физического доступа и мониторинга.

10) Требование 10. «Контролировать и отслеживать любой доступ к сетевым ресурсам и данным о держателях карт».
11) Требование 11. «Регулярно выполнять тестирование систем и процессов обеспечения безопасности».

Примечательной для аудитора является группа требований «Регулярные мониторинг и тестирование сети»(требования 10, 11). Не каждое торгово-сервисное предприятие может позволить себе содержание внутренней службы информационной безопасности и своими силами регулярно выполнять профилактические тесты на проникновение и мониторинг процессов обеспечения безопасности. Потребность в осуществлении этих систематических процедур рождает на рынке информационной безопасности спектр услуг в виде внутренних и внешних тестов на проникновение, сканирования инфраструктуры на уязвимости от совершенно разных поставщиков. Аудитор в процессе оценки соответствия требованиям стандарта PCI DSS, должен ознакомиться с результатами последнего профилактического теста на проникновение и ASV-сканирования (подпункты 11.2 «Ежеквартальное сканирование на уязвимости» и 11.3 «Ежегодные тесты на проникновение») и убедиться, что все выявленные уязвимости устранены. Тот факт, что результаты эти могут быть получены в результате услуг тестов на проникновение и сканирования на уязвимости, предоставленных третьей организацией и, как следствие, вывод аудитора строится на доверии к данным, полученным в ходе оказания этой услуги третьей стороной.

12) Требование 12. «Разработать и поддерживать политику информационной безопасности».

Требование 12 по масштабам своей реализации является одним из самых трудных в плане адаптации к инфраструктуре Заказчика. Пункт 12.1.1 требует создания такой политики, которая учитывает все требования PCI DSS. Торгово-сервисные предприятия и сервис-провайдеры, которые проходят сертификацию, должны разработать свою политику безопасности или пересмотреть текущую в соответствии с требованиями стандарта.







©2015 arhivinfo.ru Все права принадлежат авторам размещенных материалов.