Презентация Гениевского П.В.

Обеспечение информационной
безопасности в соответствии со
стандартом Индустрии платежных
карт (PCI DSS).
Председатель НП «АБИСС» - Павел Гениевский
Требования по ИБ к кредитным организациям

Положение Банка России от 09.06.2012 № 382-П «О требованиях к обеспечению защиты
информации при осуществлении переводов денежных средств и о порядке осуществления
Банком России контроля за соблюдением требований к обеспечению защиты информации
при осуществлении переводов денежных средств»

Указание Банка России от 09.06.2012 № 2831-У «Об отчетности по обеспечению защиты
информации при осуществлении переводов денежных средств операторов платежных
систем, операторов услуг платежной инфраструктуры, операторов по переводу
денежных средств»

ФЕДЕРАЛЬНЫЙ ЗАКОН ОБ ИНФОРМАЦИИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ И О
ЗАЩИТЕ ИНФОРМАЦИИ N 149-ФЗ

ФЕДЕРАЛЬНЫЙ ЗАКОН О ПЕРСОНАЛЬНЫХ ДАННЫХ №152

Постановление Правительства Российской Федерации №1119 Об утверждении
требований к защите персональных данных при их обработке в информационных
системах персональных данных

Федеральный закон Российской Федерации №161-ФЗ О национальной платежной системе
и другие
Об НП «АБИСС»
Некоммерческое партнерство «Сообщество пользователей стандартов по
информационной безопасности АБИСС» является некоммерческой организацией
и создано в целях реализации стандартов и правил, направленных на
обеспечение информационной безопасности в кредитных и других организациях
– субъектов национальной платежной системы Российской Федерации
НП «АБИСС» аккредитовано при Роскомнадзоре в качестве экспертной
организации, привлекаемой к проверкам, проводимым уполномоченным
органом, которые предусмотрены Федеральным законом «О персональных
данных» (Свидетельство об аккредитации №28 от 25.04.2012 года.)
НП «АБИСС» входит в состав ТК 122 Подкомитета №1 « Обеспечение безопасности
банковской деятельности и финансовых операций»
НП «АБИСС» взаимодействует с PCI Council (стандарты PCI DSS/PA DSS)
Стандарты PCI SSC
 Payment Card Industry Data Security Standard (PCI DSS) — стандарт
безопасности данных индустрии платёжных карт, в настоящий момент
сопровождаемый Советом по стандартам безопасности индустрии
платежных карт (Payment Card Industry Security Standards Council, PCI
SSC). www.pcisecuritystandards.org
 PIN Transaction Security (PCI PTS) - регламентирует защиту от
физического вмешательства, криптопроцессы, и другие средства
защиты PIN-кода
 Payment Application Data Security Standard (PA-DSS) - регламентирует
безопасность платежных приложений для совместимости с
требованиями PCI DSS.
Цикл обновлений стандарта PCI DSS и PA-DSS
Этап 1: Издание Стандартов
Этап 2: Вступление Стандартов в силу
Этап 3: Внедрение рынка
Этап 4: Отзывы
Этап 5: Удаление старых Стандартов
Этап 6: Обзор Отзывов
Этап 7: Пересмотр Проекта
Этап 8: Заключительный Обзор
Применение стандарта PCI DSS
PCI DSS применим к любой организации, которая хранит,
передает или обрабатывает данные платежных карт
(Банки, merchant - Торговые сервисные организации,
процессинговые центры,…)
Поставщики услуг
(Levels 1-3)
Торговые сервисные организации
(Levels 1-4)
Соответствие контролируется
платежными системами
Соответствие контролируется
Банками - Acquirers
Члены
платежных
систем
Acquirers
Сервис-провайдеры
TPP, VNP, DSE и т.п.
Магазины и
торговые сети
Интернетмагазины
Структура стандарта PCI DSS
 Стандарт PCI DSS состоит из 12 групп требований по обеспечению безопасности данных о
держателях платежных карт
 Текущая версия стандарта PCI DSS v.2.0 принята в октябре 2010 года.
https://www.pcisecuritystandards.org/security_standards/documents.php
 PCI Security Standards Council решил, что новые версии стандарта будут выходить каждые 3 года
Стандарт безопасности данных индустрии платежных карт
вспомогательные
документы по стандарту
Ориентирование в PCI DSS
Глоссарий PCI DSS
документы по merchant
(торгово-сервисными
предприятиям)
Требования и процедуры
оценки безопасности
Лист самооценки SAQ) А, B, C, D
Свидетельства о соответствии стандарту
Лист самооценки .
Инструкции по заполнению
ROC Reporting Instructions
Методы защиты информации
Основные методы защиты информации (в отношении PCI DSS)
Группа инженернотехнических методов
Группа программноаппаратных методов
 резервирование
 выделенные каналы
Группа организационных
методов обеспечения
 Организационноадминистративные
 Организационно-методические
Ежегодно требуется :
 свидетельства о действенности защитных мер
 устранение выявленных недостатков
 обновленные версии документов
Стандарт PCI DSS
English version
Стандарт Payment Card Industry (PCI) Data Security Standard.
Version 2.0
Русская версия
Стандарт безопасности данных индустрии платежных карт (PCI
DSS) Версия 2.0
Payment Card Industry (PCI) Data Security Standard Navigating PCI DSS PCI DSS Понимание назначения требований. Версия 2.0
Understanding the Intent of the Requirements, Version 2.0
Payment Card Industry (PCI) Data Security Standard (DSS) and Payment Глоссарий. Основные определения, аббревиатуры и сокращения.
Application Data Security Standard (PA-DSS) Glossary of Terms,
Версия 2.0
Abbreviations, and Acronyms, Version 2.0
Payment Card Industry (PCI) Data Security Standard Summary of
Changes from PCI DSS, Version 1.2.1 to 2.0
Обзор изменений в версии PCI DSS 2.0 по сравнению с версией
1.2.1
Payment Card Industry (PCI) Data Security Standard Self-Assessment
Questionnaire A and Attestation of Compliance, Version 2.0
Опросный лист А для самооценки и свидетельство о соответствии.
Версия 2.0
Payment Card Industry (PCI) Data Security Standard Self-Assessment
Questionnaire B and Attestation of Compliance, Version 2.0
Опросный лист B для самооценки и свидетельство о соответствии.
Версия 2.0
Payment Card Industry (PCI) Data Security Standard Self-Assessment
Questionnaire C and Attestation of Compliance, Version 2.0
Опросный лист С для самооценки и свидетельство о соответствии.
Версия 2.0
Payment Card Industry (PCI) Data Security Standard Self-Assessment
Questionnaire C-VT and Attestation of Compliance, Version 2.0
Опросный лист C-VT для самооценки и свидетельство о
соответствии. Версия 2.0
Payment Card Industry (PCI) Data Security Standard Self-Assessment
Questionnaire D and Attestation of Compliance, Version 2.0
Опросный лист D для самооценки и свидетельство о соответствии.
Версия 2.0
Payment Card Industry (PCI)Data Security Standard Self-Assessment
Questionnaire Instructions and Guidelines, Version 2.0
Опросные листы для самооценки. Инструкции и рекомендации.
Версия 2.0
Категории торгово-сервисных предприятий
(merchant) и Лист Самооценки (SAQ)
Категория
организации
(SAQ Validation
Type)
Описание
Лист
самооценки
(SAQ)
1
Merchant которые производят только транзакции без присутствия карты
(card-not-present transactions) (электронная коммерция или заказы по
почте/телефону), а все функции по обработке данных платежных карт
передают третьей стороне. К ним не относятся merchant, осуществляющие
непосредственную обработку транзакций
A
2
Merchant использующие только импринтеры и не хранящие данные
платежных карт в электронном виде, не передает их по телефону/internet
B
3
Merchant использующие автономные терминалы с коммутируемым доступом
и не хранящие данные платежных карт в электронном виде
B
4
Merchant платежные приложения которых подключены к сети Интернет и
которые не хранят данные платежных карт в электронном виде
C
5
Все остальные merchant (не упомянутые в категориях 1–4) и все сервиспровайдеры, которым международная платежная система предоставила
право заполнять SAQ
D
Частые проблемы

Общая проблема

недостаточное внимание документам PCI и платежных систем стандарт
рассматривается не как обязательный, а как весьма дискуссионный и
рекомендательный


Проблемы проектного управления или проекта в целом


поверхностное внимание к текстам документов PCI и платежных систем (по диагонали)
Проектная команда, культура проектного управления и ожидания от проекта
Проблемы с поддержкой сертификата

пересмотр PCI Scope (поменяли бизнес-процесс, изменения в системе, outsourcing)

ежеквартальные сканирования и pentest (внутренние и внешние)

устранение замечаний аудитора (с прошлого аудита)

регулярные процедуры (нужны «свидетельства», что все исполняется)

регулярный пересмотр документов и настроек систем

пересмотр компенсационных мер (… отказ в пользу положений стандарта)

анализ изменений стандарта PCI или дополнений/разъяснений к нему
Частые проблемы (Выполнение требований)

PCI Scoping

плоская (не сегментированная) «общебанковская» сеть в т.ч. ATM

за основу IT-системы, а не бизнес-процессы (или de facto)

забывают про merchant (ТСП), АТМ, аутсорсеров и определить все
внешние IP среды платежных карт для сканирования и pentest

Стандарты конфигурации

Гл.1 (1.1) часто остаются формальным документом, не соответствуют реальным
настройкам, не пересматриваются

Хранение критичных данных (гл.3)

Нередко CHD обнаруживаются вне scope (рабочие станции, e-mail)

(3.1) CHD хранятся неоправданно долго, забывают про время их хранение в backup

(3.3.) PAN в немаскированном виде - используется как идентификатор клиента,
отображается неоправданно многим сотрудникам

(3.4) PAN в нечитаемом виде (шифрование/ редуцированный…) – в СУБД, backup, preproduction системах
Частые проблемы (Выполнение требований)

Pre-production системы


Антивирусные системы


(Гл.5) не на всех системах, не налажено обновление
Patching


тестовые базы данных; требования, как и к production системе
(Гл.6) не выдерживаются сроки установки обновлений безопасности
Мониторинг / протоколирование событий

(гл.10) не все события журналируются, журналы не анализируются раз в день, журналы
защищены от подмены, backup копии не хранятся (min год). Синхронизация времени на
критических системах не обеспечена

Средства контроля целостности критичных файлов

(п.11.5) не внедрены вообще
Спасибо за внимание!