Обеспечение информационной безопасности в соответствии со

стандартом Индустрии платежных карт (PCI DSS).

Председатель НП «АБИСС» - Павел Гениевский

Требования по ИБ к кредитным организациям

Положение Банка России от 09.06.2012 № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»

Указание Банка России от 09.06.2012 № 2831-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств»

ФЕДЕРАЛЬНЫЙ ЗАКОН ОБ ИНФОРМАЦИИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ И О ЗАЩИТЕ ИНФОРМАЦИИ N 149-ФЗ

ФЕДЕРАЛЬНЫЙ ЗАКОН О ПЕРСОНАЛЬНЫХ ДАННЫХ №152

Постановление Правительства Российской Федерации №1119 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных

Федеральный закон Российской Федерации №161-ФЗ О национальной платежной системе и другие

Об НП «АБИСС»

Некоммерческое партнерство «Сообщество пользователей стандартов поинформационной безопасности АБИСС» является некоммерческой организацией и создано в целях реализации стандартов и правил, направленных на обеспечение информационной безопасности в кредитных и других организациях – субъектов национальной платежной системы Российской Федерации

НП «АБИСС» аккредитовано при Роскомнадзоре в качестве экспертной организации, привлекаемой к проверкам, проводимым уполномоченным органом, которые предусмотрены Федеральным законом «О персональных данных» (Свидетельство об аккредитации №28 от 25.04.2012 года.)

НП «АБИСС» входит в состав ТК 122 Подкомитета №1 « Обеспечение безопасности банковской деятельности и финансовых операций»

НП «АБИСС» взаимодействует с PCI Council (стандарты PCI DSS/PA DSS)

Стандарты PCI SSC

Payment Card Industry Data Security Standard (PCI DSS) — стандарт безопасности данных индустрии платёжных карт, в настоящий момент сопровождаемый Советом по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC). www.pcisecuritystandards.org

PIN Transaction Security (PCI PTS) - регламентирует защиту от физического вмешательства, криптопроцессы, и другие средства защиты PIN-кода

Payment Application Data Security Standard (PA-DSS) - регламентирует безопасность платежных приложений для совместимости с требованиями PCI DSS.

Цикл обновлений стандарта PCI DSS и PA-DSS

Этап 1: Издание Стандартов

Этап 2: Вступление Стандартов в силу

Этап 3: Внедрение рынка

Этап 4: Отзывы

Этап 5: Удаление старых Стандартов

Этап 6: Обзор Отзывов

Этап 7: Пересмотр Проекта

Этап 8: Заключительный Обзор

Применение стандарта PCI DSS

PCI DSS применим к любой организации, которая хранит, передает или обрабатывает данные платежных карт(Банки, merchant - Торговые сервисные организации,

процессинговые центры,…)

Поставщики услуг (Levels 1-3)

Соответствие контролируется платежными системами

Члены платежных

систем Acquirers

Сервис-провайдеры TPP, VNP, DSE и т.п.

Торговые сервисные организации (Levels 1-4)

Соответствие контролируется Банками - Acquirers

Магазины и торговые сети

Интернет-магазины

Структура стандарта PCI DSS

Стандарт PCI DSS состоит из 12 групп требований по обеспечению безопасности данных о держателях платежных карт

Текущая версия стандарта PCI DSS v.2.0 принята в октябре 2010 года. https://www.pcisecuritystandards.org/security_standards/documents.php

PCI Security Standards Council решил, что новые версии стандарта будут выходить каждые 3 года

Стандарт безопасности данных индустрии платежных карт

Требования и процедуры оценки безопасности

Ориентирование в PCI DSS

Глоссарий PCI DSSЛист самооценки . Инструкции по заполнению

Лист самооценки SAQ) А, B, C, D Свидетельства о соответствии стандарту

вспомогательные документы по стандарту

документы по merchant (торгово-сервисными

предприятиям)

ROC Reporting Instructions

Методы защиты информации

Основные методы защиты информации (в отношении PCI DSS)

Группа организационных методов обеспечения

Группа инженерно-технических методов

Группа программно-аппаратных методов

Организационно-административные

Организационно-методические

резервирование выделенные каналы

Ежегодно требуется : свидетельства о действенности защитных мер устранение выявленных недостатков обновленные версии документов

Стандарт PCI DSS

English version Русская версия

Стандарт Payment Card Industry (PCI) Data Security Standard. Version 2.0

Стандарт безопасности данных индустрии платежных карт (PCI DSS) Версия 2.0

Payment Card Industry (PCI) Data Security Standard Navigating PCI DSS Understanding the Intent of the Requirements, Version 2.0

PCI DSS Понимание назначения требований. Версия 2.0

Payment Card Industry (PCI) Data Security Standard (DSS) and Payment Application Data Security Standard (PA-DSS) Glossary of Terms, Abbreviations, and Acronyms, Version 2.0

Глоссарий. Основные определения, аббревиатуры и сокращения. Версия 2.0

Payment Card Industry (PCI) Data Security Standard Summary of Changes from PCI DSS, Version 1.2.1 to 2.0

Обзор изменений в версии PCI DSS 2.0 по сравнению с версией 1.2.1

Payment Card Industry (PCI) Data Security Standard Self-Assessment Questionnaire A and Attestation of Compliance, Version 2.0

Опросный лист А для самооценки и свидетельство о соответствии. Версия 2.0

Payment Card Industry (PCI) Data Security Standard Self-Assessment Questionnaire B and Attestation of Compliance, Version 2.0

Опросный лист B для самооценки и свидетельство о соответствии. Версия 2.0

Payment Card Industry (PCI) Data Security Standard Self-Assessment Questionnaire C and Attestation of Compliance, Version 2.0

Опросный лист С для самооценки и свидетельство о соответствии. Версия 2.0

Payment Card Industry (PCI) Data Security Standard Self-Assessment Questionnaire C-VT and Attestation of Compliance, Version 2.0

Опросный лист C-VT для самооценки и свидетельство о соответствии. Версия 2.0

Payment Card Industry (PCI) Data Security Standard Self-Assessment Questionnaire D and Attestation of Compliance, Version 2.0

Опросный лист D для самооценки и свидетельство о соответствии. Версия 2.0

Payment Card Industry (PCI)Data Security Standard Self-Assessment Questionnaire Instructions and Guidelines, Version 2.0

Опросные листы для самооценки. Инструкции и рекомендации. Версия 2.0

Категории торгово-сервисных предприятий (merchant) и Лист Самооценки (SAQ)

Категорияорганизации

(SAQ Validation Type)

ОписаниеЛист

самооценки (SAQ)

1

Merchant которые производят только транзакции без присутствия карты (card-not-present transactions) (электронная коммерция или заказы по почте/телефону), а все функции по обработке данных платежных карт передают третьей стороне. К ним не относятся merchant, осуществляющие непосредственную обработку транзакций

A

2 Merchant использующие только импринтеры и не хранящие данные платежных карт в электронном виде, не передает их по телефону/internet B

3 Merchant использующие автономные терминалы с коммутируемым доступом и не хранящие данные платежных карт в электронном виде B

4 Merchant платежные приложения которых подключены к сети Интернет и которые не хранят данные платежных карт в электронном виде C

5Все остальные merchant (не упомянутые в категориях 1–4) и все сервис-провайдеры, которым международная платежная система предоставила право заполнять SAQ

D

Частые проблемы

Общая проблема

недостаточное внимание документам PCI и платежных систем стандарт рассматривается не как обязательный, а как весьма дискуссионный и рекомендательный

поверхностное внимание к текстам документов PCI и платежных систем (по диагонали)

Проблемы проектного управления или проекта в целом

Проектная команда, культура проектного управления и ожидания от проекта

Проблемы с поддержкой сертификата

пересмотр PCI Scope (поменяли бизнес-процесс, изменения в системе, outsourcing)

ежеквартальные сканирования и pentest (внутренние и внешние)

устранение замечаний аудитора (с прошлого аудита)

регулярные процедуры (нужны «свидетельства», что все исполняется)

регулярный пересмотр документов и настроек систем

пересмотр компенсационных мер (… отказ в пользу положений стандарта)

анализ изменений стандарта PCI или дополнений/разъяснений к нему

PCI Scoping

плоская (не сегментированная) «общебанковская» сеть в т.ч. ATM

за основу IT-системы, а не бизнес-процессы (или de facto)

забывают про merchant (ТСП), АТМ, аутсорсеров и определить все внешние IP среды платежных карт для сканирования и pentest

Стандарты конфигурации

Гл.1 (1.1) часто остаются формальным документом, не соответствуют реальным настройкам, не пересматриваются

Хранение критичных данных (гл.3)

Нередко CHD обнаруживаются вне scope (рабочие станции, e-mail)

(3.1) CHD хранятся неоправданно долго, забывают про время их хранение в backup

(3.3.) PAN в немаскированном виде - используется как идентификатор клиента, отображается неоправданно многим сотрудникам

(3.4) PAN в нечитаемом виде (шифрование/ редуцированный…) – в СУБД, backup, pre-production системах

Частые проблемы (Выполнение требований)

Pre-production системы

тестовые базы данных; требования, как и к production системе

Антивирусные системы

(Гл.5) не на всех системах, не налажено обновление

Patching

(Гл.6) не выдерживаются сроки установки обновлений безопасности

Мониторинг / протоколирование событий

(гл.10) не все события журналируются, журналы не анализируются раз в день, журналы защищены от подмены, backup копии не хранятся (min год). Синхронизация времени на критических системах не обеспечена

Средства контроля целостности критичных файлов

(п.11.5) не внедрены вообще

Частые проблемы (Выполнение требований)

Спасибо за внимание!