Опыт прохождения PCI DSS сертификации независимой

Опыт сертификации по
стандарту PCI DSS в компании
UCS
Конференция «PCI DSS RUSSIA 2010»
17.03.2010 МОСКВА
Что такое PCI DSS?
• В настоящее время – это основной стандарт
информационной безопасности для всей
инфраструктуры международных платёжных систем
(МПС),впервые опубликованный в 2004 году.
• Смысл повсеместного внедрения стандарта
– повысить уровень информационной безопасности во всех
вовлеченных организациях, максимально затруднив
злоумышленникам получение информации о платежных
картах, достаточной для совершения мошеннических
операций;
– эта мера вынужденная и вызвана медленной и
неравномерной миграцией банков на более безопасные
платежные технологии. Это косвенно подтверждается
решениями Visa Int. середины 2009 года ослабить
требования соответствия PCI DSS для предприятий,
использующих end-to-end шифрование или работающих на
рынках с большим проникновением чиповых технологий (
«Risk based approach to PCI DSS Validation») .
Важность соответствия PCI DSS
для процессинговой компании
• В процессинге сходится информация по транзакциям
со всей обслуживаемой сети предприятий,
обслуживаемых банков, последствия компрометации
которой могут быть катастрофическими для бизнеса
(особенно для TPP/MSP) !
• МПС Visa и MasterCard разработали программы AIS
и SDP, принуждающие все организации
инфраструктуры МПС соответствовать PCI DSS.
• Соответствия PCI DSS требуют крупные наши
клиенты – ТСП и банки.
• Несоответствие программам AIS и SDP, тем более
приведшее к компрометации, влечёт штрафы со
стороны Международных Платёжных Систем,
пропорциональные объему скомпрометированных
данных.
Хронология первого аудита PCI
DSS в UCS
Причина принятия решения о начале процесса сертификации
по PCI DSS – давление со стороны МПС и deadline 31.12.2006,
который был определен МПС для Level 1 Сервис-провайдеров.
Цель первого аудита со стороны UCS – начать процесс
сертификации, чтобы не попасть под штрафы МПС.
Хронология первого аудита PCI
DSS в UCS
• Список уполномоченных аудиторов VISA
CEMEA по состоянию на 1 апреля 2006 года
–
–
–
–
One-Sec UK Ltd
AmbironTrustWave Ltd
Excelsis Business Solution AG
Informzaschita Ltd
• Октябрь 2006 года – после проведенных
маркетинговых исследований договор о
первом аудите с ЗАО «Информзащита» и
пред-аудите с ЗАО «Энвижн Груп».
Отдельный договор с AmbironTrustWave Ltd
на внешнее сканирование.
Хронология первого аудита PCI
DSS в UCS
• Ноябрь 2006 – декабрь 2006 – пред-аудит,
проведенный ЗАО «Энвижн Груп».
• Цель – подготовка материалов для
проведения аудита:
–
–
–
–
каталогизация ресурсов и систем;
подготовка схем и описаний;
актуализация имеющейся документации;
выверка используемых процедур ИБ и систем ИБ
на их соответствие PCI DSS
Хронология первого аудита PCI
DSS в UCS
• Февраль 2007 – март 2007 – аудит, проведенный
ЗАО «Информзащита»
– по сути проводился анализ сложившегося в Компании
положения дел на момент аудита.
– одна из областей аудита (эквайринговый процессинг) была
для UCS новой, не совпадающей с традиционно аудируемой
МПС эмиссионной областью - персонализации карт.
– аудит проходил с некоторым напряжением со стороны IT
персонала компании, вызванного отсутствием опыта как у
персонала UCS так и у аудиторов, что выражалось иногда в
констатации несоответствий требованиям стандарта без
рекомендаций как их исправить.
• Апрель 2007 – Report on Compliance
Report on Compliance
• Компания UCS не
полностью
соответствует
стандарту
• Not in place – 29%
• In place – 71%
Onsite review results
52
Not in place
In place
126
Report on Compliance
• Довольно неплохой результат, учитывая
данные, которые 29 апреля 2009 года
озвучили коллеги из ЗАО
«Информзащита» на семинаре «PCI DSS:
информационная безопасность в
индустрии платежных карт» уже на базе
своего более 3 летнего опыта и десятков
проведенных аудитов:
• в среднем после первого аудита заказчики
достигают 53 % соответствия.
• после второго – 72%
Распределение несоответствий по
требованиям стандарта
Основные зоны несоответствия
• 1 –разработка и управление конфигурацией МЭ
• 2 – параметры безопасности и пароли по умолчанию
• 6 – разработка и поддержка систем и приложений
• 8 – назначение уникального ID
• 10 –мониторинг доступа
• 11 – тестирование систем и процессов безопасности
Key non-compliance areas
40
35
30
25
20
26
23
24
19
15
11
10
5
0
11
19
8
9
6
4
3
3
2
0
0
0
0
Req. 1 Req. 2 Req. 3 Req. 4 Req. 5 Req. 6 Req. 7 Req. 8 Req. 9
7
28
12
5
non-compliances
applicable checks
Req.
10
8
Req.
11
2
Req.
12
Выводы по результатам первого
аудита
• Выявлены проблемные области несоответствия
стандарту как процедурные, так и связанные с
отсутствием ряда необходимых АС ИБ.
• Произведенная инвентаризация ресурсов выявила
некоторые проблемы, требующие срочного
исправления.
• Пришло понимание масштабности стоящих задач,
вызванных сложностью сетевой инфраструктуры
Компании, на балансе которой на тот момент
находилось три процессинговых решения. Как
следствие – понимание необходимости привлечения
в качестве консультанта независимой компании
системного интегратора.
Хронология второго аудита PCI
DSS в UCS
•
•
Сентябрь 2007 – договор с ЗАО «Инфосистемы Джет» на
модернизацию системы ИБ UCS в соответствии с требованиями PCI
DSS. Отдельный договор на сам аудит.
Октябрь 2007 – декабрь 2008 работы в рамках заключенного договора:
– проведены углубленные исследования текущего состояния ИБ, сетевой
инфраструктуры, проведена категоризация ресурсов и систем;
– предложен план модернизации сети компании и системы ИБ, утвержден
бюджет;
– проведены работы по поэтапной перестройке сети с тестированием всех
изменений;
– серьезная переработка имеющейся документации и разработка новой;
– приведение в соответствие требованиям процедур ИБ;
– приобретение, тестирование и внедрение аппаратного и программного
обеспечения, необходимого для различных АС ИБ;
– заключены договоры с ASV и проведены работы по внешнему и
внутреннему тестированию на проникновение, периодическому внешнему и
внутреннему сканированию. В качестве ASV выступали TrustWave, ЗАО
«Инфосистемы Джет».
Хронология второго аудита PCI
DSS в UCS
• Декабрь 2008 – январь 2009 – аудит,
проведенный QSA «Инфосистемы Джет»
• Со стороны QSA аудит проводился
сертифицированным аудитором, не
участвовавшим в работах по подготовке
аудита.
• Все работы проведены с минимальным
воздействием на текущие бизнес-процессы и
оперативную доступность предоставляемых
компанией сервисов
Хронология второго аудита PCI
DSS в UCS
• Аудит проходил в благоприятном и
конструктивном ключе как со стороны
аудитора, так и IT персонала компании.
• 30 января 2009 года QSA был
подготовлен и направлен в Visa Int.
Report on Compliance (ROC)
Report on Compliance
• In place – 92%
• Not In place – 8%
По всем
невыполняемым
пунктам внедрены
компенсирующие
меры, одобренные
Visa Int.
Onsite review results
22
Not in place
In place
221
Хронология второго аудита PCI
DSS
• 15 ферваля 2009 года UCS получила
AOC (сертификат соответствия) PCI
DSS 1.2
Attestation of Compliance
Результаты второго аудита
• UCS – первой из Российского банковскопроцессингого сообщества добилась соответствия
PCI DSS;
• Попали в соответствующие листинги МПС
сертифицированных провайдеров;
• Выполнили настойчивые требования наших клиентов
банков и ТСП, в основном с западными корнями,
которые для соответствия PCI DSS обязаны
использовать сертифицированного сервиспровайдера;
• Провели полную диспансеризацию системы ИБ
компании и серьезно повысили уровень ИБ;
• Потрачено больше 2 лет и около 1 млн. долларов.
Хронология третьего аудита PCI
DSS в UCS
•
•
Август 2009 – договор с ЗАО «Инфосистемы Джет» на
предсертификационный аудит и непосредственно на сам аудит.
Сентябрь 2009 – декабрь 2009 работы в рамках
предсертификационного аудита:
– подготовка и анализ документации, новых отчетов о сканировании и
внешнего теста на проникновение, проводимых компанией TrustWave;
– подготовка плана и проведение интервью со специалистами;
– проведение внутреннего теста на проникновение силами ЗАО
«Инфосистемы Джет»;
– проведение работ по увеличению эффективности системы управления
событиями ИБ - Symantec SIM, в частности: обновлена версия системы до
4.6, улучшена система оповещения администраторов по e-mail, добавлены
ряд новых и оптимизированы имевшиеся правила корреляции событий с
целью уменьшения несущественных срабатываний;
– на базе проведенных работ с системой Symantec SIM был пересмотрен
процесс управления инцидентами ИБ. В процесс были внесены
существенные изменения, которые позволяют более эффективно и быстро
обрабатывать события и инциденты ИБ, вовлекать в процесс более
широкий круг сотрудников компании;
Хронология третьего аудита PCI
DSS в UCS
• Помимо работ в рамках предсертификационного
аудита в течение всего 2009 года в компании
проводились работы по усилению контроля доступа
и хранения конфиденциальной информации, которые
особенно активизировались после приобретения
весной 2009 года UCS компанией Global Payments
Inc., в частности:
• миграция на технологию терминального доступа,
технологию VMware;
• начато внедрение решений по безопасному
хранению конфиденциальной информации на основе
шифрования баз данных, их резервных копий,
жестких дисков рабочих станций и ноутбуков.
Хронология третьего аудита PCI
DSS в UCS
• Январь-февраль 2010 – аудит,
проведенный QSA «Инфосистемы
Джет»
• Со стороны QSA аудит проводился
сертифицированным аудитором, не
участвовавшим в работах по подготовке
аудита.
• 12 марта 2010 года QSA был направлен
в Visa Int. AOC
Результаты третьего аудита
• UCS – надеется на вторичное
подтверждение соответствия PCI DSS;
• Получила дальнейшее развитие
система ИБ компании, на что было
потрачено несколько сотен тысяч
долларов.
Вопросы?
Начальник Управления по контролю за рисками UCS
Кузнецов Александр Николаевич
Тел.: (095) 234-18-22
Факс: (095) 234-18-21
E-mail: kualex@abgcard.ru