СТАНДАРТЫ

Сегодня, когда взлом банковских информационных систем превратился в регулярный многомиллионный бизнес, а кибератаки становятся одновременно массированными и адресными, международные платежные системы (МПС) VISA и MasterCard принимают дополнительные меры для защиты своих клиентов. Именно в этих целях разработан новый набор требований к безопасности данных - Payment Card Industry Data Security Standard (PCI DSS, стандарт защиты информации в индустрии платежных карт). Цель разработки этого стандарта заключается в повышении защищенности названных электронных торговых и платежных систем.

PCI DSS объединяет разработанные VISA программы Account Information Security (AIS) и Cardholder Information Security Program (CISP), а также разработанную MasterCard программу Site Data Protection (SDP). Фактически это определенный набор требований по информационной безопасности, соблюдение которых должно свести к минимуму информационные риски, закрыть уязвимые бреши в компьютерных системах пользователей VISA и MasterCard и как результат сохранить значимую конфиденциальную информацию.

Действие PCI DSS распространяется на всех мерчантов (торговые предприятия) и поставщиков услуг, подключенных к международным платежным системам VISA и MasterCard. Однако конкретный набор предъявляемых требований зависит от количества обрабатываемых данной компанией транзакций. Для упрощения проверочных процедур на соответствие стандарту каждому предприятию-пользователю присваивается соответствующий уровень. В табл. 1 и 2 приведены критерии отнесения компании к тому или иному уровню, общая форма требований к проверкам, их периодичность и исполнители.

Таблица 1. Требования PCI DSS для мерчантов

Таблица 2. Требования PCI DSS для поставщиков услуг (процессинговые центры, платежные шлюзы, интернет-провайдеры)

Задача аудита - снизить степень критичности уязвимостей ИС, работающих с международными платежными системами VISA и MasterCard. Аудитор не определяет эту степень, не интерпретирует данные проверок - это прерогатива сотрудников VISA, которые делают соответствующие выводы на основе его заключений.

Статус аудитора, дающий право проверок любой фирмы мира, работающей с платежными системами VISA и MasterCard, может получить компания, прошедшая аттестацию на соответствие определенным критериям. Основные из них - опыт и стаж работы претендента, прозрачность его кредитной истории.

Среди российских компаний на статус "Qualified Security Assessor" первой сертифицировалась "Информзащита". На это у нее ушло примерно полтора года (следующим по ее стопам претендентам времени, скорее всего, потребуется меньше).

Если со сбором аудиторской информации, необходимой для проверки на соответствие PCI DSS, может справиться любой опытный аналитик, то оценивать полноту данных, приводить их в соответствие с требованиями VISA, а главное, делать необходимое резюме имеют право только сертифицированные аудиторы. На сегодняшний день обучение и квалификационную проверку в системе VISA прошли два специалиста "Информзащиты".

Аудиту подлежит не вся ИС проверяемого, а только те части, которые связаны с обработкой процессинговых данных и с системами общего доступа. Сюда входят система интернет-банкинга, содержащая данные клиентских кредитных карт, и узлы подключения сети к Интернету. Однако основным мерилом детальности аудита, как уже было отмечено, является благополучная деловая активность проверяемого, отраженная количеством транзакций за год (см. табл. 1 и 2).

Трудоемкость проверок зависит от масштабов предоставляемых компанией сервисов, от архитектурной сложности ее ИС, а также от территориальной распределенности подразделений. Если, например, у банка много филиалов, но их ИС имеют типовую архитектуру, то по согласованию с VISA проверку можно проводить выборочно, лишь в нескольких филиалах. Если же представленные аудиторам документы не позволяют сделать вывод о наличии у заказчика четких корпоративных стандартов, если проверяющим непонятно, как построена информационная защита сервисов в подразделениях, то проверке подлежит каждое подразделение.

По оценкам представителей "Информзащиты", весь процесс аудита занимает не менее трех недель. Из этого срока примерно неделя уходит на работу с заказчиком непосредственно на его территории, неделю занимает обработка результатов и столько же потребует перевод заключения на английский язык. Затем документы отправляются в VISA.

Аудит информационной системы на соответствие стандарту PCI DSS

Описание проверочных работ

1. Проверка структуры и поддержки безопасности сети:

- наличие и сопровождение конфигурации периметровых средств защиты (брандмауэров) для защиты данных;

- контроль изменения выставленных по умолчанию производителем системных паролей и других параметров системы безопасности.

2. Контроль защиты данных держателей карт:

- контроль обеспечения защиты хранящихся данных;

- контроль обеспечения шифрования данных владельцев карт и других важных данных при их передаче через общедоступные сети.

3. Проверка поддержки программы управления уязвимостями:

- проверка использования и регулярного обновления антивирусного программного обеспечения;

- проверка разработки и поддержки систем по безопасности и их приложений.

4. Проверка реализации мер по строгому контролю доступа:

- проверка разграничения доступа к данным по принципу служебной необходимости;

- проверка присвоения уникального идентификационного номера каждому лицу, располагающему доступом к компьютеру;

- проверка ограничения физического доступа к данным держателей карт.

5. Проверка мониторинга и тестирования сетей:

- проверка отслеживания всех сеансов доступа к сетевым ресурсам и данным владельцев карт;

- проверка постоянного анализа процессов обеспечения безопасности и журналов средств информационной безопасности.

6. Проверка поддержки политики защиты информации:

- проверка наличия и исполнения политики по информационной безопасности.

 

Сканирование сети

В соответствии с предписаниями стандарта PCI DSS компании должны ежеквартально проходить процедуру сканирования сети.

Сканирование сети на предмет выявления уязвимостей используется наряду с программой управления уязвимостями. Сканирование помогает идентифицировать уязвимости и неправильные конфигурации элементов ИТ-инфраструктуры (Web-сайтов и т. п.).

Сканированию подлежат сети всех мерчантов и поставщиков услуг, имеющих общедоступные компоненты ИT-структуры (устройства и серверы, имеющие реальные маршрутизируемые в рамках сети интернет-адреса). Если организация не осуществляет операции через Интернет, то сканированию подвергаются все системы, в которых обрабатывается информация о карточках и их пользователях.

Описание работ

В процессе сканирования в обязательном порядке проводятся следующие работы:

- сканирование межсетевых экранов и внешних маршрутизаторов;

- сканирование всех Web-сервисов и приложений;

- сканирование сервисных приложений;

- сканирование клиентских сетевых приложений;

- сканирование используемых серверов доменных имён;

- сканирование почтовых серверов;

- сканирование устройств балансировки нагрузок;

- сканирование средств виртуального и терминального доступа;

- сканирование беспроводных точек доступа.

При проведении сканирования организация должна принять все меры к тому, чтобы настройки межсетевых экранов, систем обнаружения и предотвращения сетевых атак не создавали помех для сканирования.

Как показывает опыт работы с клиентами, чаще всего проблемы в процессе проверок возникают непосредственно на местах уже после заключения договора на аудит. У сотрудников проверяемой фирмы всегда есть свои текущие дела, всегда найдутся недочеты, о которых не знает руководство, порой их просто забывают проинформировать о предстоящих проверках. Как любой служащий, они негативно воспринимают внешние контролирующие действия. Поэтому на аудитора помимо чисто профессиональной нагрузки, относящейся к проверке как таковой, ложится дополнительная, организационная. Это вызывает задержки, которые приходится учитывать в усредненных расчетах трудоемкости аудита.

Соответствие PCI DSS обеспечивает некоторый оптимум защиты, рассчитанный специалистами по безопасности VISA и MasterCard, который, по мнению заместителя директора по маркетингу компании "Информзащита" Михаила Савельева, является соблюдением повседневной "гигиены" в сложной системе информационной безопасности, не более того. Реально же необходимый уровень защиты каждая компания должна определять самостоятельно, исходя из специфики своих условий.

PCI DSS обязателен с 2005 г. для всех мерчантов - пользователей МПС в Европе и Америке. В России пока действуют более мягкие условия, хотя VISA по условиям стандартных договоров оставляла за собой право более плотного контроля за своими партнерами. Сегодня в нашей стране около восьмидесяти принципиальных членов системы VISA*1 первого уровня и примерно столько же мерчантов первого уровня. Похоже, из-за сложившейся ситуации с информационной безопасностью в финансовой сфере уже настала пора воспользоваться этим правом. Сами банки заинтересованы в повышении своей защищенности: в доказанных случаях киберограблений помимо подрыва престижа они несут прямые убытки, возмещая клиентам ущерб. Пока конкретные сроки введения обязательного аудита на соответствие стандарту для России VISA не объявила. Однако, как считают в "Информзащите", есть все основания предполагать, что произойдет это скоро.

_____

*1 Принципиальный член МПС VISA - банк или процессинговый центр, работающий с этой системой напрямую. Он может осуществлять торговый эквайринг карт Visa, имеет право участия в голосовании при выборе членов совета директоров Visa International, а также право предоставлять другим банкам услуги по участию в международной платежной системе Visa International в качестве ассоциированных членов.