© ООО «Дейтерий», 2010 – 2013 | , Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) | | Обеспечили безопасность платежей? Что дальше? Сергей Шустиков Генеральный директор Deiteriy CISA, PCI QSA, PCI PA-QSA 23 августа 2013 года, бизнес-конференция «Платежи сегодня и завтра»

1Актуальные требования регуляторов по ИБ © ООО «Дейтерий», 2010 – 2013 | , Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) | | Нормативные документы, содержащие требования к информационной безопасности платежей ИсточникСтатус Федеральный Закон 161-ФЗ «О национальной платежной системе» Закон РФОбязательный Федеральный Закон 152-ФЗ «О персональных данных» Закон РФОбязательный Стандарт Банка России СТО БР ИББСБанк России Рекомендательный Payment Card Industry Data Security Standard (PCI DSS)Visa MasterCard AmEx JCB Discover Обязательный

2Подтверждение соответствия © ООО «Дейтерий», 2010 – 2013 | , Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) | | Нормативные документы, содержащие требования к информационной безопасности платежей Способы подтверждения соответствия Федеральный Закон 161-ФЗ «О национальной платежной системе» Внешний независимый аудит, Самооценка Федеральный Закон 152-ФЗ «О персональных данных» Внешняя проверка РКН или прокуратуры Стандарт Банка России СТО БР ИББС Внешний независимый аудит, Самооценка Payment Card Industry Data Security Standard (PCI DSS) Внешний независимый аудит, Самооценка, если применима Вывод: контроль обеспечения информационной безопасности носит непостоянный характер и выполняется в виде проверок моментального состояния соответствия. моментально – не постоянно соответствие – еще не безопасность

3Что происходит после подтверждения соответствия? © ООО «Дейтерий», 2010 – 2013 | , Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) | |

5Первый случай из практики – пролог © ООО «Дейтерий», 2010 – 2013 | , Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) | | Компания – поставщик услуг по классификации Visa и MasterCard Подготовка к сертификации по PCI DSS заняла 8 месяцев Компания успешно прошла сертификационный QSA-аудит все как обычно

6Первый случай из практики – завязка © ООО «Дейтерий», 2010 – 2013 | , Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) | | ИТ-отдел компании забросил ведение записей по изменениям в инфраструктуре сразу после успешного прохождения QSA-аудита через два месяца системные администраторы перестали отправлять заявки на изменения на согласования в отдел информационной безопасности и применять стандарты конфигурации при настройке систем работники отдела информационной безопасности не выполнили требования внутреннего нормативного документа о регулярном пересмотре правил межсетевого экранирования уже становится интересно

7Первый случай из практики – кульминация © ООО «Дейтерий», 2010 – 2013 | , Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) | | за два месяца до повторного сертификационного аудита для балансировки резко возросшей нагрузки были установлены два дополнительных веб-сервера, с конфигурацией «из коробки» никаких настроек безопасности для этих серверов не было сделано, обновления безопасности не были установлены на межсетевом экране были открыты разрешающие правила доступа из публичного Интернета к этим веб-серверам в информационную инфраструктуру были внесены многие неучтенные изменения Fail!

8Первый случай из практики – развязка © ООО «Дейтерий», 2010 – 2013 | , Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) | | на стандартный вопрос аудитора о готовности к плановым ежегодным проверкам был дан ответ: «конечно готовы» необновленные серверы были обнаружены в ходе ASV-сканирования, обновления были установлены следом, устно была повторно подтверждена готовность к аудиту ежегодный сертификационный QSA-аудит не был пройден по причине неработающих процедур управления изменениями и регулярных процедур ИБ, а также из-за наличия многих проблем конфигурации внутри инфраструктуры (некорректной сегментации сети, небезопасного использования FTP, и прочих) ну как же так!

9Первый случай из практики – эпилог © ООО «Дейтерий», 2010 – 2013 | , Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) | | приведение процессов управления информационной инфраструктурой и её безопасностью в соответствие PCI DSS заняло несколько месяцев компоненты информационной инфраструктуры были приведены в безопасную конфигурацию повторный сертификационный QSA-аудит был пройден успешно компания взята на внешнюю поддержку безопасности (- что это? – рассказ впереди!) теперь все в порядке

10Второй случай из практики – пролог © ООО «Дейтерий», 2010 – 2013 | , Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) | | Компания – поставщик услуг по классификации Visa и MasterCard Подготовка к сертификации по PCI DSS заняла 4 месяца Компания успешно прошла сертификационный QSA-аудит все стандартно

11Второй случай из практики – завязка © ООО «Дейтерий», 2010 – 2013 | , Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) | | к разработке программного обеспечения для новых сервисов были привлечены разработчики, не участвовавшие в предшествующей подготовке к сертификации новые разработчики не были обучены требованиям безопасности в соответствии со стандартом PCI DSS в техническом задании на разработку новых модулей ПО отсутствовали упоминания требований безопасности платежных карт без комментариев

12Второй случай из практики – кульминация © ООО «Дейтерий», 2010 – 2013 | , Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) | | в лог-файлах нового модуля приложения, расположенного на сервере приложений, доступном из публичного Интернета, начали сохраняться полные номера карт в открытом виде ну зачем???

13Второй случай из практики – развязка © ООО «Дейтерий», 2010 – 2013 | , Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) | | на стандартный вопрос аудитора о готовности к плановым ежегодным проверкам был дан ответ: «конечно готовы» ежегодный сертификационный QSA-аудит не был пройден по причине наличия в лог- файлах полных номеров карт в открытом виде, хранимых без какой-либо защиты я так и думал!

14Второй случай из практики – эпилог © ООО «Дейтерий», 2010 – 2013 | , Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) | | разработчики прошли обучение по обеспечению безопасности платежных карт приложение было модифицировано и начало писать в логи маскированные номера платежных карт ( ** **** 7890) повторный сертификационный QSA-аудит был пройден успешно компания взята на внешнюю поддержку безопасности (- что это? – рассказ впереди!) ура!

15Соответствие или безопасность? © ООО «Дейтерий», 2010 – 2013 | , Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) | |

1616Причины проблем с ИБ после достижения соответствия © ООО «Дейтерий», 2010 – 2013 | , Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) | | Причина 1, идеологическая: Исходная цель – получить соответствие, а не защищенную инфраструктуру Причина 2, организационная: Снижение приоритета процессов ИБ от максимального почти до нуля Причина 3, психологическая: Отсутствие постоянного объективного ориентира – ложное чувство защищенности безопасность перестает существовать в тот момент, когда ей перестают заниматься

1717Решение – внешняя поддержка безопасности © ООО «Дейтерий», 2010 – 2013 | , Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) | | внешний консультант помогает поддерживать достигнутый уровень защищенности На внешнюю организацию можно переложить: постоянный контроль выполнения регулярных процедур (ежемесячные проверки) выполнение контрольной функции внутри регулярных процедур (согласование изменений в инфраструктуре, заявок на доступ, …) выполнение регулярных процедур ИБ (аутсорсинг информационной безопасности)

1818Спасибо! © ООО «Дейтерий», 2010 – 2013 | , Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) | | Спасибо за внимание! Вопросы? mailto: