Соответствие стандарту PCI DSS (часть 2)
В четвертом квартале 2006 года было совершено транзакций электронной торговли на сумму 33,9 миллиарда долларов, причем четверть этого дохода приходится на мошенничество. Наиболее распространенной формой мошенничества с личными данными в 2007 году была кража личных данных кредитных карт. Во второй части серии PCI DSS мы расскажем о поддержании программы управления уязвимостями, внедрении строгих мер контроля доступа и поддержании политики информационной безопасности.
Кому что нужно делать?
| Торговцы 1-го уровня (большие парни) | Требования |
|
|
| Торговцы 2-го уровня (средняя компания) | Требования |
|
|
| Торговцы 3-го уровня (маленькие ребята) | Требования |
|
|
| Торговцы 4 уровня (все остальные) | Требования |
|
|
* Большинство продавцов 2-го и 3-го уровня не уложатся в срок до 7 декабря… Продавцы 4-го уровня, с которыми я консультировался, уже нарушили крайний срок проверки до 7 июля… И что теперь? Банки подтвердили, что PCI DSS является требованием и что если несоблюдение будет продолжаться, последуют последствия…
Поддерживать программу управления уязвимостями
Требование 5. Используйте и регулярно обновляйте антивирусное программное обеспечение.
Обновление и использование антивируса может показаться стандартом де-факто, однако я по-прежнему считаю, что многие организации либо не имеют антивируса, либо не внедрили антивирус должным образом. Рассматриваемые организации, как правило, имеют плохие стратегии обновления и/или неправильно настроенный антивирус, который из-за плохой конфигурации не обновляет и не предупреждает соответствующий персонал службы поддержки, если обновление не происходит. Хороший антивирус не так эффективен, как обновленный антивирус.
Требование 6. Разработка и поддержка безопасных систем и приложений
Многие эксплойты происходят из-за того, что программное обеспечение не исправляется или не обновляется. В большинстве случаев обновления безопасности являются результатом плохой разработки программного обеспечения или плохой практики кодирования. Кроме того, когда программное обеспечение исправлено, исправления редко проверяются. Результатом может быть время простоя или нежелательные изменения функций, которые препятствуют доставке приложения. Развертывание и обслуживание безопасных приложений включает в себя тестирование обновлений в тестовых средах и их применение в производственной среде только до тех пор, пока функциональность и производительность не будут тщательно протестированы.
Надлежащая разработка приложений и соблюдение жизненного цикла разработки программного обеспечения — это не только передовая практика, но и требование стандарта PCI DSS. Сюда входит разделение среды разработки и живой среды. Без этого решение может пойти ужасно неправильно, и проблемы могут возникнуть всякий раз, когда в приложение вносятся изменения. Прежде чем решение будет запущено, все остаточные учетные данные, такие как имена пользователей и другие идентификационные данные, должны быть удалены, чтобы работающее приложение не содержало конфиденциальную информацию. Если забыть об этом компоненте очистки, это может привести к компрометации системы, что позволит злоумышленнику повысить свои привилегии и потенциально раскрыть сведения о пользователе системы.
Изменить управление
Если вы не можете измерить, вы не можете управлять; как узнать, откуда возникли проблемы, если нет сведений о том, какие изменения произошли при обновлении программного обеспечения? Если вам нужно отменить обновление, невозможно определить, какое из 101 обновлений вызвало проблему.
Внедрите строгие меры контроля доступа
Требование 7. Ограничьте доступ к данным о держателях карт по служебной необходимости
Это требование направлено на обеспечение необходимости знать канон безопасности или иметь наименьшие привилегии. Причина этого в том, что только уполномоченный персонал должен иметь доступ к конфиденциальным данным, защищенным PCI DSS. Лучший способ сделать это — запретить все с помощью белого списка. Как ты это делаешь? Начните с контролируемого отзыва всех привилегий и предоставления доступа к ресурсам и данным только в соответствии с требованиями уполномоченного персонала. Этот контроль доступа может быть задокументирован для создания ACL, который поддерживается и контролируется средствами управления системами окружающей среды. Легче сказать, чем сделать… Больше информации о Deny All здесь.
Требование 8. Назначьте уникальный идентификатор каждому лицу, имеющему доступ к компьютеру.
Восьмое требование — присвоить уникальные идентификаторы каждому человеку, который будет иметь доступ к конфиденциальным данным. Это требование является частью компонента стандарта, предусматривающего неотказуемость и адаптируемость, и помогает решать проблемы, возникающие при доступе нескольких пользователей к одним и тем же ресурсам с одинаковыми учетными данными. Двухфакторная аутентификация является обязательным требованием и должна быть реализована для противодействия слабому контролю доступа, такому как пароли. Решения, реализующие строгую аутентификацию, полезны при определении того, кто и когда имел доступ к системе, и всегда без сомнения можно определить, кто имел доступ к среде.
Для удаленного доступа используется более безопасный механизм аутентификации, использующий такие технологии, как RADIUS и TACACS+. Опять же, шифрование играет роль, и все учетные данные должны оставаться зашифрованными, особенно во время передачи. Строгий контроль паролей поможет обеспечить соответствие требованиям PCI. Передовой опыт в отношении паролей является обязательным в этом сегменте требований. Подробнее о двухфакторной аутентификации здесь.
Требование 9. Ограничьте физический доступ к данным о держателях карт
В соответствии с этим требованием необходим технический и физический контроль, который ограничивает доступ к информации о держателе карты. Чтобы уменьшить уязвимости системы безопасности, обрабатывайте информацию о карте в безопасной среде и надежно храните данные. Если это не вариант, необходимо будет применять множество физических технических средств контроля. Классификация данных и физически защищенные бумажные записи подпадают под это требование.
Требование 9 требует усиленной физической безопасности, поскольку данные клиентов находятся под угрозой. Все это необходимо, и отсутствие одного из этих элементов управления может привести к раскрытию данных карты посторонним лицам.
Утилизация материала карты также важна, такие атаки, как погружение в мусорный бак, не редкость, и по этой причине важно физическое уничтожение данных карты.
Требование 10. Отслеживайте и контролируйте любой доступ к сетевым ресурсам и данным держателей карт.
Аудит и ведение журнала являются ключевыми компонентами соответствия PCI. Это помогает доказать, какой пользователь получил доступ к данным кредитной карты, и пытаются ли неавторизованные пользователи получить несанкционированный доступ. Мониторинг и аудит доступа к информации карты является требованием, которое регистрирует: дату, время, доступ, успех, отказ и доступ к журналу. Более подробные переменные, которые необходимо контролировать, можно найти в стандарте. Обычно я рекомендую, чтобы доступ к информации осуществлялся через брандмауэр прикладного уровня.
Требование 11. Регулярно тестируйте системы и процессы безопасности.
Регулярное тестирование систем на наличие уязвимостей является частью стандарта PCI. Вот почему команда по обеспечению соответствия PCI сделала обязательным условием периодическое сканирование сетей, в которых хранится информация о картах.
Минимум для теста на проникновение — один раз в год, ежеквартальные сканирования должны выполняться поставщиками, квалифицированными PCI. Использование IDS для обнаружения угроз и уязвимых систем помогает предотвратить эксплойты. IDS использует файлы шаблонов для поддержания актуальности, и это требование PCI. Использование программного обеспечения для проверки целостности файлов поможет убедиться, что файлы не были изменены.
Поддерживать политику информационной безопасности
Требование 12. Поддерживайте политику, касающуюся информационной безопасности.
Последнее требование PCI DSS — соблюдение политики безопасности. Политика без зубов бесполезна, и политика безопасности должна соответствовать всем требованиям, изложенным в PCI DSS.
Следование передовой практике и соблюдение рекомендаций стандарта ISO 17799, теперь известного как ISO 27001, поможет соответствовать стандарту PCI DSS. Двенадцатое требование содержит множество подробных требований, и из-за его обширного характера лучше всего обратиться к самому стандарту PCI DSS.
Таким образом, эта серия документов должна служить руководством, которое поможет вам и вашей организации принять решение о том, как соответствовать PCI DSS. Стандарт был разработан для защиты как потребителей, так и организаций, хранящих информацию о картах, от ежегодных потерь миллиардов долларов. Короче говоря, стандарт PCI помогает организациям стать более безопасными, и это не должно быть единственной причиной внедрения соответствующего решения безопасности.