Внедрение стандарта безопасности данных индустрии платежных карт в «Приорбанк» ОАО
Лаптев В.И., менеджер, «Приорбанк» ОАО, г. Минск.
Доклад был сделан в рамках прошедшего форума «Банк ИТ’10»
«Сражаясь с тем, кто умеет обороняться, противник не знает, где ему нападать» (Сунь-Цзы «Трактат о военном искусстве»). Этот эпиграф достаточно точно отражает цель, которая должна быть достигнута при внедрении стандарта безопасности данных индустрии платежных карт (PCI DSS, Payment Card Industry Data Security Standard). Стандарт был разработан в целях поддержания и улучшения защиты данных платежных карт и содействию широкому повсеместному применению стойких мер безопасности данных. Требования стандарта PCI DSS применяются, если выполняется хранение, обработка или передача данных платежных карт, например номера карты или других критичных данных авторизации платежных карт (полное содержание магнитной полосы, ПИН код и т.д. ).
Стандарт содержит требования, которые разделены на 12 групп.
Построение и поддержание безопасной сети:
1. установка и управление конфигурацией межсетевых экранов для защиты данных платежных карт;
2. не использовать установленные производителем по умолчанию системные пароли и параметры безопасности;
Защита данных платежных карт:
3. защита данных платежных карт при хранении;
4. шифрование данных платежных карт, передаваемых по сетям общего доступа;
Реализация программы управления уязвимостями:
5. использовать и регулярно обновлять антивирусное программное обеспечение;
6. разработка и поддержка безопасных систем и приложений;
Реализация мер по строгому контролю доступа:
7. ограничение доступа к данным платежных карт в соответствии со служебной необходимостью;
8. назначение уникального идентификатора для каждого лица, имеющего доступ к компьютеру;
9. ограничение физического доступа к данным платежных карт;
Регулярный мониторинг и тестирование сетей:
10. отслеживание и мониторинг любого доступа к сетевым ресурсам и данным платежных карт;
11. регулярное тестирование систем и процессов обеспечения;
Поддержание политики информационной безопасности:
12. Поддержание политики по информационной безопасности для сотрудников и контрагентов.
Несколько лет назад платежные системы Visa и MasterCard создали специальные программы по повышению безопасности информации. Согласно требованиям платежных систем, если организация подпадает под определенные критерии, она должна обеспечить соответствие стандарту PCI DSS. С целью подтверждения соответствия, необходимо пройти независимый и сертифицированный (QSA, Qualified Security Assessor) аудит. В случае не соответствия стандарту, организации грозят штрафные санкции со стороны платежных систем.
В соответствии с лучшими практиками, банк использовал проектный подход для организации соответствия стандарту. Была создана рабочая группа и проведен предварительный аудит, по результатам которого был создан план мероприятий.
Цели плана достигаются:
· сегментированием сети передачи данных и защитой сегментов сети межсетевыми экранами;
· перемещением серверов между сегментами, для оптимизации передачи данных;
· организацией защищенных подключений к данным сегментам;
· исключением, где это возможно, хранения, обработки и передачи номера карты;
· созданием новых и изменением существующих процессов ИТ;
· организацией дополнительных контролей;
· созданием и изменением нормативных актов;
· документированием информационных систем на различных уровнях;
· запрещением, либо ограничением использования различных устройств.
Важным моментом является то, что соответствие стандарту требует соблюдения регулярных процедур, так как «Безопасность это процесс, а не результат» (Брюс Шнайер).
Ежегодно проводится:
Ø QSA-аудит;
Ø тест на проникновение;
Ø проверка безопасности веб-приложений;
Ø пересмотр политики безопасности;
Ø обучение персонала.
Каждые 6 месяцев пересматриваются конфигурации межсетевых экранов и маршрутизаторов. Ежеквартально выполняется внешнее и внутреннее сканирование сети на наличие уязвимостей. Еженедельно осуществляются процедуры проверки целостности критичных файлов. Ежедневно просматривать журналы протоколирования событий выполнять другие процедуры, предусмотренные политикой безопасности.
Соблюдение стандарта PCI DSS позволит значительно повысить уровень защиты данных платежных карт и избежать штрафных санкций платежных систем.
