Секреты соответствия PCI DSS: Секреты соответствия PCI DSS: трудности, ошибки и рекомендациитрудности, ошибки и рекомендации

Бондаренко АлександрДиректор департамента консалтинга, CISA, CISSP

+7 (495) 921 1410 / www.leta.ruМарт 2011

информация о компании 2

Новая схема пересмотра

и обновления стандарта

ПОСЛЕДНИЕ ИЗМЕНЕНИЯПОСЛЕДНИЕ ИЗМЕНЕНИЯ

Новые

дедлайны

Новая редакция стандарта – PCI DSS

2.0

01.01.2011 – вступление в силу

2010 LETA IT-company. All rights reserved.This presentation is for informational purposes only. LETA IT-company makes no warranties, express or implied, in this summary.

информация о компании 3

ПЛАН СООТВЕТСТВИЯПЛАН СООТВЕТСТВИЯ

Предварительный аудит

Построение системы ИБ, отвечающей требованиям

PCI DSS

План устранения несоответствий

Тест на проникновение

Внешнее сканирование от

ASV

Сертификационный аудит

Документы

Техн. средства

Отчет о проведении теста на

проникновение

Отчет о проведении

внешнего сканирования

Отчет о соответствии

КОНСУЛЬТАНТ

поддержание соответствияQSA-аудит

тестирование на проникновение

внешнее и внутреннее сканирование

мониторинг инцидентов и анализ логов

контроль соблюдения политик

обучение сотрудников

анализ рисков

модернизация средств защиты

…

2010 LETA IT-company. All rights reserved.This presentation is for informational purposes only. LETA IT-company makes no warranties, express or implied, in this summary.

информация о компании 4

ОСНОВНЫЕ НЕСООТВЕТСТВИЯОСНОВНЫЕ НЕСООТВЕТСТВИЯ

Trustwave Global Security Report 2011

2010 LETA IT-company. All rights reserved.This presentation is for informational purposes only. LETA IT-company makes no warranties, express or implied, in this summary.

информация о компании 5

Требование 1: Установить и обеспечить функционирование межсетевых экранов для защиты данных о держателях карт

Аспекты: документирование конфигурации, создание DMZ, отделение беспроводных сетей, персональные МСЭ

Рекомендации: ревью существующих конфигураций и создание на их основе документированных стандартов, использование готовых конфигурационных шаблонов

ТРЕБОВАНИЯ ТРЕБОВАНИЯ PCI DSSPCI DSS

Требование 2: Не использовать пароли и другие системные параметры, заданные производителем по умолчанию

Аспекты: стандартные пароли на большинстве устройств, небезопасные стандартные настройки

Рекомендации: ревью существующих конфигураций и создание на их основе документированных стандартов, использование готовых конфигурационных шаблонов, применение сканеров для выявления стандартных параметров

2010 LETA IT-company. All rights reserved.

This presentation is for informational purposes only. LETA IT-company makes no warranties, express or implied, in this summary.

информация о компании 6

Требование 3: Обеспечить безопасное хранение данных о держателях карт

Аспекты: небезопасное хранение данных, хранение запрещенных данных, управление крипто-ключами

Рекомендации: DLP и схожие технологии для поиска данных, карты потоков данных, системы централизованного управления крипто-ключами

Документы: «PCI Data Storage Do’s and Don'ts»

ТРЕБОВАНИЯ ТРЕБОВАНИЯ PCI DSSPCI DSS

Требование 4: Обеспечить шифрование данных о держателях карт при их передаче через сети общего пользования

Аспекты: Использование WEP, WPA/TKIP, OPENSSL

Рекомендации: использование надежных алгоритмов шифрования, исключение возможности открытой передачи

2010 LETA IT-company. All rights reserved.

This presentation is for informational purposes only. LETA IT-company makes no warranties, express or implied, in this summary.

информация о компании 7

Требование 5: Использовать и регулярно обновлять антивирусное программное обеспечение

Аспекты: отсутствие антивирусов на критичных серверах, на *nix-подобных системах

Рекомендации: подобрать необходимый инструментарий, определить периодичность проверок и обновлений

ТРЕБОВАНИЯ ТРЕБОВАНИЯ PCI DSSPCI DSS

Требование 6: Разрабатывать и поддерживать безопасные системы и приложения

Аспекты: выявление уязвимостей, обновление разношерстного ПО, тестирование и внесение изменений

Рекомендации: переход на сертифицированные приложения, WAF для защиты веб-приложений, сканеры уязвимостей процедуры контроля и внесения изменений

Документы: Requirement 6.6 Application Reviews and Web Application Firewalls Clarified v1.2

2010 LETA IT-company. All rights reserved.This presentation is for informational purposes only. LETA IT-company makes no warranties, express or implied, in this summary.

информация о компании 8

Требование 7: Ограничить доступ к данным платежных карт в соответствии со служебной необходимостью

Аспекты: административный доступ, ролевые модели

Рекомендации: разработка должностных инструкций, введение системы контроля/пересмотра прав доступа

ТРЕБОВАНИЯ ТРЕБОВАНИЯ PCI DSSPCI DSS

Требование 8: Назначить уникальный идентификатор каждому лицу, имеющему доступ к информационной инфраструктуре

Аспекты: неактивные учетные записи, увольнение персонала, общее пользование учетной записью

Рекомендации: парольная политика, двухфакторная аутентификация для администраторов, процедура взаимодействия с отделом кадров при увольнении

2010 LETA IT-company. All rights reserved.This presentation is for informational purposes only. LETA IT-company makes no warranties, express or implied, in this summary.

информация о компании 9

Требование 9: Ограничить физический доступ к данным платежных карт

Аспекты: размещение оборудования и линий связи, «маркеры» для персонала или гостей, надежная транспортировка резервных копий

Рекомендации: port security для сетевых розеток, беджи для посетителей, шифрование резервных копий

ТРЕБОВАНИЯ ТРЕБОВАНИЯ PCI DSSPCI DSS

Требование 10: Контролировать и отслеживать любой доступ к сетевым ресурсам и данным о держателях карт

Аспекты: ведение логов и их консолидация, хранение лог-файлов, ежедневный анализ

Рекомендации: использование средств автоматизации (SIM), составление описаний подозрительных событий для анализа логов, процедуры анализа логов

2010 LETA IT-company. All rights reserved.This presentation is for informational purposes only. LETA IT-company makes no warranties, express or implied, in this summary.

информация о компании 10

Требование 11: Регулярно выполнять тестирование систем и процессов обеспечения безопасности

Аспекты: обнаружение беспроводных устройств, ASV-сканирование, тест на проникновение

Рекомендации: использование сканеров для обнаружения устройств (в т.ч. беспроводных), ASV-сервисы

Документы: Requirement 11.3 Penetration Testing v1.2

ТРЕБОВАНИЯ ТРЕБОВАНИЯ PCI DSSPCI DSS

Требование 12: Разработать и поддерживать политику информационной безопасности

Аспекты: обучение и повышение осведомленности, скрининг при приеме на работу, реагирование на инциденты

Рекомендации: внутренний ИБ-портал и периодические тренинги, процедура проверки кандидатов, процедура управления инцидентами ИБ

2010 LETA IT-company. All rights reserved.

This presentation is for informational purposes only. LETA IT-company makes no warranties, express or implied, in this summary.

информация о компании 11

применяются в случае невозможности выполнения требований стандарта

должны обеспечить не меньший уровень безопасности

далеко не всегда экономически эффективны

в ряде случаев создают проблем больше, чем решают

КОМПЕНСАЦИОННЫЕ МЕРЫКОМПЕНСАЦИОННЫЕ МЕРЫ

2010 LETA IT-company. All rights reserved.This presentation is for informational purposes only. LETA IT-company makes no warranties, express or implied, in this summary.

информация о компании 12

Стандарт детальный, но оставляет «возможность для маневра»

Ошибочное решение может стоить серьезных финансовых и временных ресурсов и в конечном итоге привести к компрометации

Экономить можно и нужно, но не на всем

Соответствие PCI DSS – хороший фундамент для реальной безопасности

ЗАКЛЮЧЕНИЕЗАКЛЮЧЕНИЕ

2010 LETA IT-company. All rights reserved.This presentation is for informational purposes only. LETA IT-company makes no warranties, express or implied, in this summary.

информация о компании 13

КОНТАКТНАЯКОНТАКТНАЯ ИНФОРМАЦИЯИНФОРМАЦИЯ

109129, Россия, Москва, ул. 8-я Текстильщиков, д.11, стр. 2

Тел./факс: +7 (495) 921-1410www.leta.ru

2010 LETA IT-company. All rights reserved.This presentation is for informational purposes only. LETA IT-company makes no warranties, express or implied, in this summary.

Бондаренко Александр ВалерьевичДиректор департамента консалтингаCISA,CISSPКомпания ЛЕТАe-mail: abondarenko@leta.ru