презентация - Платежи сегодня и завтра

Report
Обеспечили безопасность платежей?
Что дальше?
Сергей Шустиков
Генеральный директор Deiteriy
CISA, PCI QSA, PCI PA-QSA
23 августа 2013 года, бизнес-конференция «Платежи сегодня и завтра»
© ООО «Дейтерий», 2010 – 2013
|
192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б
|
+7 (812) 361-61-55
|
www.deiteriy.com
|
[email protected]
1
Актуальные требования регуляторов по ИБ
Нормативные документы, содержащие требования
к информационной безопасности платежей
Источник
Статус
Федеральный Закон № 161-ФЗ «О национальной
платежной системе»
Закон РФ
Обязательный
Федеральный Закон № 152-ФЗ «О персональных
данных»
Закон РФ
Обязательный
Стандарт Банка России СТО БР ИББС
Банк
России
Рекомендательный
Payment Card Industry Data Security Standard (PCI DSS) Visa
Обязательный
MasterCard
AmEx
JCB
Discover
© ООО «Дейтерий», 2010 – 2013
|
192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б
|
+7 (812) 361-61-55
|
www.deiteriy.com
|
[email protected]
2
Подтверждение соответствия
Нормативные документы, содержащие требования
к информационной безопасности платежей
Способы подтверждения
соответствия
Федеральный Закон № 161-ФЗ «О национальной
платежной системе»
• Внешний независимый аудит,
• Самооценка
Федеральный Закон № 152-ФЗ «О персональных
данных»
• Внешняя проверка РКН или
прокуратуры
Стандарт Банка России СТО БР ИББС
• Внешний независимый аудит,
• Самооценка
Payment Card Industry Data Security Standard (PCI DSS) • Внешний независимый аудит,
• Самооценка, если применима
Вывод: контроль обеспечения информационной безопасности носит непостоянный
характер и выполняется в виде проверок моментального состояния соответствия.
моментально – не постоянно
соответствие – еще не безопасность
© ООО «Дейтерий», 2010 – 2013
|
192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б
|
+7 (812) 361-61-55
|
www.deiteriy.com
|
[email protected]
3
© ООО «Дейтерий», 2010 – 2013
Что происходит после подтверждения соответствия?
|
192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б
|
+7 (812) 361-61-55
|
www.deiteriy.com
|
[email protected]
5
Первый случай из практики – пролог
• Компания – поставщик услуг по классификации Visa и MasterCard
• Подготовка к сертификации по PCI DSS заняла 8 месяцев
• Компания успешно прошла сертификационный QSA-аудит
все как обычно
© ООО «Дейтерий», 2010 – 2013
|
192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б
|
+7 (812) 361-61-55
|
www.deiteriy.com
|
[email protected]
6
Первый случай из практики – завязка
• ИТ-отдел компании забросил ведение записей по изменениям в инфраструктуре
сразу после успешного прохождения QSA-аудита
• через два месяца системные администраторы перестали отправлять заявки на
изменения на согласования в отдел информационной безопасности и применять
стандарты конфигурации при настройке систем
• работники отдела информационной безопасности не выполнили требования
внутреннего нормативного документа о регулярном пересмотре правил
межсетевого экранирования
уже становится интересно
© ООО «Дейтерий», 2010 – 2013
|
192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б
|
+7 (812) 361-61-55
|
www.deiteriy.com
|
[email protected]
7
Первый случай из практики – кульминация
• за два месяца до повторного сертификационного аудита для балансировки резко
возросшей нагрузки были установлены два дополнительных веб-сервера, с
конфигурацией «из коробки»
• никаких настроек безопасности для этих серверов не было сделано, обновления
безопасности не были установлены
• на межсетевом экране были открыты разрешающие правила доступа из публичного
Интернета к этим веб-серверам
• в информационную инфраструктуру были внесены многие неучтенные изменения
Fail!
© ООО «Дейтерий», 2010 – 2013
|
192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б
|
+7 (812) 361-61-55
|
www.deiteriy.com
|
[email protected]
8
Первый случай из практики – развязка
• на стандартный вопрос аудитора о готовности к плановым ежегодным проверкам
был дан ответ: «конечно готовы»
• необновленные серверы были обнаружены в ходе ASV-сканирования, обновления
были установлены следом, устно была повторно подтверждена готовность к аудиту
• ежегодный сертификационный QSA-аудит не был пройден по причине
неработающих процедур управления изменениями и регулярных процедур ИБ, а
также из-за наличия многих проблем конфигурации внутри инфраструктуры
(некорректной сегментации сети, небезопасного использования FTP, и прочих)
ну как же так!
© ООО «Дейтерий», 2010 – 2013
|
192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б
|
+7 (812) 361-61-55
|
www.deiteriy.com
|
[email protected]
9
Первый случай из практики – эпилог
• приведение процессов управления информационной инфраструктурой и её
безопасностью в соответствие PCI DSS заняло несколько месяцев
• компоненты информационной инфраструктуры были приведены в безопасную
конфигурацию
• повторный сертификационный QSA-аудит был пройден успешно
• компания взята на внешнюю поддержку безопасности (- что это? – рассказ впереди!)
теперь все в порядке
© ООО «Дейтерий», 2010 – 2013
|
192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б
|
+7 (812) 361-61-55
|
www.deiteriy.com
|
[email protected]
10
Второй случай из практики – пролог
• Компания – поставщик услуг по классификации Visa и MasterCard
• Подготовка к сертификации по PCI DSS заняла 4 месяца
• Компания успешно прошла сертификационный QSA-аудит
все стандартно
© ООО «Дейтерий», 2010 – 2013
|
192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б
|
+7 (812) 361-61-55
|
www.deiteriy.com
|
[email protected]
11
Второй случай из практики – завязка
• к разработке программного обеспечения для новых сервисов были привлечены
разработчики, не участвовавшие в предшествующей подготовке к сертификации
• новые разработчики не были обучены требованиям безопасности в соответствии со
стандартом PCI DSS
• в техническом задании на разработку новых модулей ПО отсутствовали упоминания
требований безопасности платежных карт
без комментариев
© ООО «Дейтерий», 2010 – 2013
|
192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б
|
+7 (812) 361-61-55
|
www.deiteriy.com
|
[email protected]
12
Второй случай из практики – кульминация
• в лог-файлах нового модуля приложения, расположенного на сервере приложений,
доступном из публичного Интернета, начали сохраняться полные номера карт в
открытом виде
ну зачем???
© ООО «Дейтерий», 2010 – 2013
|
192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б
|
+7 (812) 361-61-55
|
www.deiteriy.com
|
[email protected]
13
Второй случай из практики – развязка
• на стандартный вопрос аудитора о готовности к плановым ежегодным проверкам
был дан ответ: «конечно готовы»
• ежегодный сертификационный QSA-аудит не был пройден по причине наличия в логфайлах полных номеров карт в открытом виде, хранимых без какой-либо защиты
я так и думал!
© ООО «Дейтерий», 2010 – 2013
|
192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б
|
+7 (812) 361-61-55
|
www.deiteriy.com
|
[email protected]
14
Второй случай из практики – эпилог
• разработчики прошли обучение по обеспечению безопасности платежных карт
• приложение было модифицировано и начало писать в логи маскированные номера
платежных карт (1234 56** **** 7890)
• повторный сертификационный QSA-аудит был пройден успешно
• компания взята на внешнюю поддержку безопасности (- что это? – рассказ впереди!)
ура!
© ООО «Дейтерий», 2010 – 2013
|
192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б
|
+7 (812) 361-61-55
|
www.deiteriy.com
|
[email protected]
15
Соответствие или безопасность?
≠
© ООО «Дейтерий», 2010 – 2013
|
192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б
|
+7 (812) 361-61-55
|
www.deiteriy.com
|
[email protected]
16
Причины проблем с ИБ после достижения соответствия
Причина 1, идеологическая:
Исходная цель – получить соответствие, а не защищенную инфраструктуру
Причина 2, организационная:
Снижение приоритета процессов ИБ от максимального почти до нуля
Причина 3, психологическая:
Отсутствие постоянного объективного ориентира – ложное чувство защищенности
безопасность перестает существовать в тот момент, когда ей перестают заниматься
© ООО «Дейтерий», 2010 – 2013
|
192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б
|
+7 (812) 361-61-55
|
www.deiteriy.com
|
[email protected]
17
Решение – внешняя поддержка безопасности
На внешнюю организацию можно переложить:
• постоянный контроль выполнения регулярных процедур (ежемесячные проверки)
• выполнение контрольной функции внутри регулярных процедур (согласование
изменений в инфраструктуре, заявок на доступ, …)
• выполнение регулярных процедур ИБ (аутсорсинг информационной безопасности)
внешний консультант помогает поддерживать достигнутый уровень защищенности
© ООО «Дейтерий», 2010 – 2013
|
192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б
|
+7 (812) 361-61-55
|
www.deiteriy.com
|
[email protected]
18
Спасибо!
Спасибо за внимание!
Вопросы?
mailto: [email protected]
© ООО «Дейтерий», 2010 – 2013
|
192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б
|
+7 (812) 361-61-55
|
www.deiteriy.com
|
[email protected]

similar documents