презентация - Платежи сегодня и завтра

Download Report

Transcript презентация - Платежи сегодня и завтра

Обеспечили безопасность платежей?

Что дальше?

Сергей Шустиков Генеральный директор Deiteriy CISA, PCI QSA, PCI PA-QSA 23 августа 2013 года, бизнес-конференция «Платежи сегодня и завтра»

1 Актуальные требования регуляторов по ИБ

Нормативные документы, содержащие требования к информационной безопасности платежей

Федеральный Закон № 161-ФЗ «О национальной платежной системе» Федеральный Закон № 152-ФЗ «О персональных данных»

Источник

Закон РФ Закон РФ Стандарт Банка России СТО БР ИББС Банк России Payment Card Industry Data Security Standard (PCI DSS) Visa MasterCard AmEx JCB Discover

Статус

Обязательный Обязательный Рекомендательный Обязательный © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]

2 Подтверждение соответствия

Нормативные документы, содержащие требования к информационной безопасности платежей

Федеральный Закон № 161-ФЗ «О национальной платежной системе» Федеральный Закон № 152-ФЗ «О персональных данных» Стандарт Банка России СТО БР ИББС Payment Card Industry Data Security Standard (PCI DSS) • • • • • • •

Способы подтверждения соответствия

Внешний независимый аудит, Самооценка Внешняя проверка РКН или прокуратуры Внешний независимый аудит, Самооценка Внешний независимый аудит, Самооценка, если применима Вывод: контроль обеспечения информационной безопасности носит непостоянный характер и выполняется в виде проверок

моментального

состояния

соответствия

моментально – не постоянно соответствие – еще не безопасность

3 Что происходит после подтверждения соответствия?

5 Первый случай из практики – пролог

• Компания – поставщик услуг по классификации Visa и MasterCard • Подготовка к сертификации по PCI DSS заняла 8 месяцев • Компания успешно прошла сертификационный QSA-аудит

все как обычно

6 Первый случай из практики – завязка

• ИТ-отдел компании забросил ведение записей по изменениям в инфраструктуре сразу после успешного прохождения QSA-аудита • через два месяца системные администраторы перестали отправлять заявки на изменения на согласования в отдел информационной безопасности и применять стандарты конфигурации при настройке систем • работники отдела информационной безопасности не выполнили требования внутреннего нормативного межсетевого экранирования документа о регулярном пересмотре правил

уже становится интересно

7 Первый случай из практики – кульминация

• за два месяца до повторного сертификационного аудита для балансировки резко возросшей нагрузки были установлены два дополнительных веб-сервера, с конфигурацией «из коробки» • никаких настроек безопасности для этих серверов не было сделано, обновления безопасности не были установлены • на межсетевом экране были открыты разрешающие правила доступа из публичного Интернета к этим веб-серверам • в информационную инфраструктуру были внесены многие неучтенные изменения

Fail!

8 Первый случай из практики – развязка

• на стандартный вопрос аудитора о готовности к плановым ежегодным проверкам был дан ответ: «конечно готовы» • необновленные серверы были обнаружены в ходе ASV-сканирования, обновления были установлены следом, устно была повторно подтверждена готовность к аудиту • ежегодный сертификационный QSA-аудит не был пройден по причине неработающих процедур управления изменениями и регулярных процедур ИБ, а также из-за наличия многих проблем конфигурации внутри инфраструктуры (некорректной сегментации сети, небезопасного использования FTP, и прочих)

ну как же так!

9 Первый случай из практики – эпилог

• приведение процессов управления информационной инфраструктурой и её безопасностью в соответствие PCI DSS заняло несколько месяцев • компоненты информационной инфраструктуры были приведены в безопасную конфигурацию • повторный сертификационный QSA-аудит был пройден успешно • компания взята на внешнюю поддержку безопасности (- что это? – рассказ впереди!)

теперь все в порядке

10 Второй случай из практики – пролог

• Компания – поставщик услуг по классификации Visa и MasterCard • Подготовка к сертификации по PCI DSS заняла 4 месяца • Компания успешно прошла сертификационный QSA-аудит

все стандартно

11 Второй случай из практики – завязка

• к разработке программного обеспечения для новых сервисов были привлечены разработчики, не участвовавшие в предшествующей подготовке к сертификации • новые разработчики не были обучены требованиям безопасности в соответствии со стандартом PCI DSS • в техническом задании на разработку новых модулей ПО отсутствовали упоминания требований безопасности платежных карт

без комментариев

12 Второй случай из практики – кульминация

• в лог-файлах нового модуля приложения, расположенного на сервере приложений, доступном из публичного Интернета, начали сохраняться полные номера карт в открытом виде

ну зачем???

13 Второй случай из практики – развязка

• на стандартный вопрос аудитора о готовности к плановым ежегодным проверкам был дан ответ: «конечно готовы» • ежегодный сертификационный QSA-аудит не был пройден по причине наличия в лог файлах полных номеров карт в открытом виде, хранимых без какой-либо защиты

я так и думал!

14 Второй случай из практики – эпилог

• разработчики прошли обучение по обеспечению безопасности платежных карт • приложение было модифицировано и начало писать в логи маскированные номера платежных карт (1234 56** **** 7890) • повторный сертификационный QSA-аудит был пройден успешно • компания взята на внешнюю поддержку безопасности (- что это? – рассказ впереди!)

ура!

15 Соответствие или безопасность?

≠ © ООО «Дейтерий», 2010 – 2013 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]

16 Причины проблем с ИБ после достижения соответствия

Причина 1, идеологическая: Исходная цель –

получить соответствие

, а не защищенную инфраструктуру Причина 2, организационная:

Снижение приоритета

процессов ИБ от максимального почти до нуля Причина 3, психологическая:

Отсутствие постоянного объективного ориентира

– ложное чувство защищенности

безопасность перестает существовать в тот момент, когда ей перестают заниматься

17 Решение – внешняя поддержка безопасности

На внешнюю организацию можно переложить: • постоянный контроль выполнения регулярных процедур

(ежемесячные проверки)

• выполнение контрольной функции внутри регулярных процедур

изменений в инфраструктуре, заявок на доступ, …) (согласование

• выполнение регулярных процедур ИБ

(аутсорсинг информационной безопасности) внешний консультант помогает поддерживать достигнутый уровень защищенности