Секреты соответствия PCI DSS: Секреты соответствия PCI DSS: трудности, ошибки и трудности, ошибки и рекомендации рекомендации Бондаренко Александр Директор департамента консалтинга, CISA, CISSP +7 (495) 921 1410 / www.leta.ru Март 2011
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Секреты соответствия PCI DSS: Секреты соответствия PCI DSS: трудности, ошибки и рекомендациитрудности, ошибки и рекомендации
Бондаренко АлександрДиректор департамента консалтинга, CISA, CISSP
+7 (495) 921 1410 / www.leta.ruМарт 2011
информация о компании 2
Новая схема пересмотра
и обновления стандарта
ПОСЛЕДНИЕ ИЗМЕНЕНИЯПОСЛЕДНИЕ ИЗМЕНЕНИЯ
Новые
дедлайны
Новая редакция стандарта – PCI DSS
2.0
01.01.2011 – вступление в силу
2010 LETA IT-company. All rights reserved.This presentation is for informational purposes only. LETA IT-company makes no warranties, express or implied, in this summary.
информация о компании 3
ПЛАН СООТВЕТСТВИЯПЛАН СООТВЕТСТВИЯ
Предварительный аудит
Построение системы ИБ, отвечающей требованиям
PCI DSS
План устранения несоответствий
Тест на проникновение
Внешнее сканирование от
ASV
Сертификационный аудит
Документы
Техн. средства
Отчет о проведении теста на
проникновение
Отчет о проведении
внешнего сканирования
Отчет о соответствии
КОНСУЛЬТАНТ
поддержание соответствияQSA-аудит
тестирование на проникновение
внешнее и внутреннее сканирование
мониторинг инцидентов и анализ логов
контроль соблюдения политик
обучение сотрудников
анализ рисков
модернизация средств защиты
…
2010 LETA IT-company. All rights reserved.This presentation is for informational purposes only. LETA IT-company makes no warranties, express or implied, in this summary.
информация о компании 4
ОСНОВНЫЕ НЕСООТВЕТСТВИЯОСНОВНЫЕ НЕСООТВЕТСТВИЯ
Trustwave Global Security Report 2011
2010 LETA IT-company. All rights reserved.This presentation is for informational purposes only. LETA IT-company makes no warranties, express or implied, in this summary.
информация о компании 5
Требование 1: Установить и обеспечить функционирование межсетевых экранов для защиты данных о держателях карт
Аспекты: документирование конфигурации, создание DMZ, отделение беспроводных сетей, персональные МСЭ
Рекомендации: ревью существующих конфигураций и создание на их основе документированных стандартов, использование готовых конфигурационных шаблонов
ТРЕБОВАНИЯ ТРЕБОВАНИЯ PCI DSSPCI DSS
Требование 2: Не использовать пароли и другие системные параметры, заданные производителем по умолчанию
Аспекты: стандартные пароли на большинстве устройств, небезопасные стандартные настройки
Рекомендации: ревью существующих конфигураций и создание на их основе документированных стандартов, использование готовых конфигурационных шаблонов, применение сканеров для выявления стандартных параметров
2010 LETA IT-company. All rights reserved.
This presentation is for informational purposes only. LETA IT-company makes no warranties, express or implied, in this summary.
информация о компании 6
Требование 3: Обеспечить безопасное хранение данных о держателях карт
Аспекты: небезопасное хранение данных, хранение запрещенных данных, управление крипто-ключами
Рекомендации: DLP и схожие технологии для поиска данных, карты потоков данных, системы централизованного управления крипто-ключами
Документы: «PCI Data Storage Do’s and Don'ts»
ТРЕБОВАНИЯ ТРЕБОВАНИЯ PCI DSSPCI DSS
Требование 4: Обеспечить шифрование данных о держателях карт при их передаче через сети общего пользования
Аспекты: Использование WEP, WPA/TKIP, OPENSSL
Рекомендации: использование надежных алгоритмов шифрования, исключение возможности открытой передачи
2010 LETA IT-company. All rights reserved.
This presentation is for informational purposes only. LETA IT-company makes no warranties, express or implied, in this summary.
информация о компании 7
Требование 5: Использовать и регулярно обновлять антивирусное программное обеспечение
Аспекты: отсутствие антивирусов на критичных серверах, на *nix-подобных системах
Рекомендации: подобрать необходимый инструментарий, определить периодичность проверок и обновлений
ТРЕБОВАНИЯ ТРЕБОВАНИЯ PCI DSSPCI DSS
Требование 6: Разрабатывать и поддерживать безопасные системы и приложения
Аспекты: выявление уязвимостей, обновление разношерстного ПО, тестирование и внесение изменений
Рекомендации: переход на сертифицированные приложения, WAF для защиты веб-приложений, сканеры уязвимостей процедуры контроля и внесения изменений
Документы: Requirement 6.6 Application Reviews and Web Application Firewalls Clarified v1.2
2010 LETA IT-company. All rights reserved.This presentation is for informational purposes only. LETA IT-company makes no warranties, express or implied, in this summary.
информация о компании 8
Требование 7: Ограничить доступ к данным платежных карт в соответствии со служебной необходимостью
Аспекты: административный доступ, ролевые модели
Рекомендации: разработка должностных инструкций, введение системы контроля/пересмотра прав доступа
ТРЕБОВАНИЯ ТРЕБОВАНИЯ PCI DSSPCI DSS
Требование 8: Назначить уникальный идентификатор каждому лицу, имеющему доступ к информационной инфраструктуре
Аспекты: неактивные учетные записи, увольнение персонала, общее пользование учетной записью
Рекомендации: парольная политика, двухфакторная аутентификация для администраторов, процедура взаимодействия с отделом кадров при увольнении
2010 LETA IT-company. All rights reserved.This presentation is for informational purposes only. LETA IT-company makes no warranties, express or implied, in this summary.
информация о компании 9
Требование 9: Ограничить физический доступ к данным платежных карт
Аспекты: размещение оборудования и линий связи, «маркеры» для персонала или гостей, надежная транспортировка резервных копий
Рекомендации: port security для сетевых розеток, беджи для посетителей, шифрование резервных копий
ТРЕБОВАНИЯ ТРЕБОВАНИЯ PCI DSSPCI DSS
Требование 10: Контролировать и отслеживать любой доступ к сетевым ресурсам и данным о держателях карт
Аспекты: ведение логов и их консолидация, хранение лог-файлов, ежедневный анализ
Рекомендации: использование средств автоматизации (SIM), составление описаний подозрительных событий для анализа логов, процедуры анализа логов
2010 LETA IT-company. All rights reserved.This presentation is for informational purposes only. LETA IT-company makes no warranties, express or implied, in this summary.
информация о компании 10
Требование 11: Регулярно выполнять тестирование систем и процессов обеспечения безопасности
Аспекты: обнаружение беспроводных устройств, ASV-сканирование, тест на проникновение
Рекомендации: использование сканеров для обнаружения устройств (в т.ч. беспроводных), ASV-сервисы
Документы: Requirement 11.3 Penetration Testing v1.2
ТРЕБОВАНИЯ ТРЕБОВАНИЯ PCI DSSPCI DSS
Требование 12: Разработать и поддерживать политику информационной безопасности
Аспекты: обучение и повышение осведомленности, скрининг при приеме на работу, реагирование на инциденты
Рекомендации: внутренний ИБ-портал и периодические тренинги, процедура проверки кандидатов, процедура управления инцидентами ИБ
2010 LETA IT-company. All rights reserved.
This presentation is for informational purposes only. LETA IT-company makes no warranties, express or implied, in this summary.
информация о компании 11
применяются в случае невозможности выполнения требований стандарта
должны обеспечить не меньший уровень безопасности
далеко не всегда экономически эффективны
в ряде случаев создают проблем больше, чем решают
КОМПЕНСАЦИОННЫЕ МЕРЫКОМПЕНСАЦИОННЫЕ МЕРЫ
2010 LETA IT-company. All rights reserved.This presentation is for informational purposes only. LETA IT-company makes no warranties, express or implied, in this summary.
информация о компании 12
Стандарт детальный, но оставляет «возможность для маневра»
Ошибочное решение может стоить серьезных финансовых и временных ресурсов и в конечном итоге привести к компрометации
Экономить можно и нужно, но не на всем
Соответствие PCI DSS – хороший фундамент для реальной безопасности
ЗАКЛЮЧЕНИЕЗАКЛЮЧЕНИЕ
2010 LETA IT-company. All rights reserved.This presentation is for informational purposes only. LETA IT-company makes no warranties, express or implied, in this summary.
информация о компании 13
КОНТАКТНАЯКОНТАКТНАЯ ИНФОРМАЦИЯИНФОРМАЦИЯ
109129, Россия, Москва, ул. 8-я Текстильщиков, д.11, стр. 2
Тел./факс: +7 (495) 921-1410www.leta.ru
2010 LETA IT-company. All rights reserved.This presentation is for informational purposes only. LETA IT-company makes no warranties, express or implied, in this summary.
Бондаренко Александр ВалерьевичДиректор департамента консалтингаCISA,CISSPКомпания ЛЕТАe-mail: [email protected]
Related Documents
