ТРЕБОВАНИЯ К СХЕМАМ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ Требования к схемам информационной инфраструктуры 1. Высокоуровневая схема информационной инфраструктуры ..................................................................................................................... 3 2. Схема сетевой сегментации .............................................................................................................................................................................. 5 3. Схема сетевой инфраструктуры на логическом уровне............................................................................................................................... 6 4. Схема сетевой инфраструктуры на физическом уровне ............................................................................................................................. 7 5. Схемы информационных потоков ................................................................................................................................................................... 8 2 Требования к схемам информационной инфраструктуры 1. Высокоуровневая схема информационной инфраструктуры Высокоуровневая схема представляет собой упрощенную логическую схему платежной инфраструктуры. На схеме должны быть представлены все физические площадки, на которых размещаются компоненты информационной инфраструктуры среды ДДК аудируемой организации. Компоненты среды ДДК должны отображаться с привязкой к этим физическим площадкам. Итоговое изображение, соответствующее этому требованию, может содержать прямоугольник c прямыми углами, обозначающий физическую площадку, и название изображаемой физической площадки. Сетевые сегменты или области среды ДДК, размещенной на площадке, изображаются прямоугольником с закругленными углами внутри этого прямоугольника с указанием их названия. Пиктограмма соответствующего компонента (сервера, сетевого оборудования и т.п.) изображается внутри прямоугольника, обозначающего сетевой сегмент/область. Схема должна содержать: все внешние и внутренние соединения между средой ДДК и иными сетями/подсетями с которыми среда ДДК каким-либо образом взаимодействует все ключевые системы и компоненты: POS-терминалы; АТМ; СУБД; веб-серверы приема, передачи и обработки ДДК; серверы платежных приложений внутри сети: o все пограниченные активные сетевые устройства (МЭ, маршрутизаторы) o наименование логических областей (и/или сегментов) сети o все критичные системные компоненты и их DNS-имена снаружи: o все внешние подключения к пограничным активным сетевым устройствам (маршрутизатору или межсетевому экрану). Должны быть отображены все внешние объекты (с которыми осуществляется взаимодействие через сеть Интернет или через выделенные каналы) с которыми взаимодействуют системные компоненты (например, банки, процессинги, платежные шлюзы, системы фрод-мониторинга и тп). Если внешний объект не принадлежит проверяемой организации и не входит в область оценки, то допускается абстрагирование и изображение такого обекта в виде пиктограммы (например, облако или здание) с указанием его названия. На схеме разрешается не отображать: дублирующие элементы (резервные серверы и иное резервное оборудование). Достаточно отображение одного узла, показывающего наличие определенного типа компонента в инфраструктуре; сетевые устройства 2-го уровня модели OSI; сетевые соединения внутри сегментов; сетевую адресацию; протоколы передачи данных; 3 Требования к схемам информационной инфраструктуры все серверы, предоставляющие системные и инфраструктурные сервисы, а именно NTP, Syslog, DNS, SMTP, POP3, и тп. Допускается изображение группы серверов с обозначением «Системные и инфраструктурные сервисы»; каждый АРМ в т.ч. ноутбуки сотрудников, входящих в среду ДДК. Разрешается группировка АРМ по группам с учетом целей использования АРМ (например, АРМ группы администрирования или АРМ операционистов). Графическое отображение группы может представлять собой несколько пиктограмм АРМ и/или ноутбуков с указанием типа названии группы; все сетевые сегменты. Достаточно отображения сетевых областей, которые могут содержать в себе некоторое количество сетевых сегментов. Например, среда обработки ДДК может включать в себя выделенный сегмент серверов и сегмент СУБД. Допускается изображение единой области (визуально представляющей собой прямоугольник) с указанием названия «Среда обработки ДДК». Пиктограммы прикладных серверов и серверов СУБД, находящихся в соответствующих сегментах, должны изображаться внутри этой области (внутри прямоугольника). 4 Требования к схемам информационной инфраструктуры 2. Схема сетевой сегментации Схема сетевой сегментации отображает межсегментное взаимодействие. На схеме должно быть изображено: физические места размещения сегментов сети сегменты обработки ДДК с привязкой к физическим местам размещения, названием и указанием их типа (проводной (на физическом, логическом или виртуальном), беспроводной) сегменты в которых не ведется обработка ДДК, но взаимодействующие с сегментами обработки ДДК и/или расположенные в среде ДДК. межсегментное взаимодействие с указанием использования или не использования межсетевого экранирования и/или шифрования в рамках такого взаимодействия и направление передачи трафика (односторонее или двухстороннее). Описание сегментов, в которых ведется обработка ДДК, должно быть дано в таблице ниже: Название сегмента Подсеть/маска Тип подсети (проводная (физическая или виртуальная), беспроводная) Назначение сегмента Операции с ДДК Физическое размещение сегмента Описание сегментов, в которых не ведется обработка ДДК, должно быть дано в таблице ниже: Название сегмента Подсеть/маска Тип подсети (проводная, беспроводная) Назначение сегмента Взаимодействие с сегментами обработки ДДК Сегменты ДДК Цель взаимодействия Средства/методы контроля доступа Физическое размещение сегмента 5 Требования к схемам информационной инфраструктуры 3. Схема сетевой инфраструктуры на логическом уровне Логическая схема отображает сетевую инфраструктуру на 3 уровне модели OSI. На схеме должно быть изображено: физические места размещения проверяемой инфраструктуры; сегменты обработки ДДК с привязкой к физическим местам размещения и их название. Должны быть отображены проводные и беспроводные сети; сегменты в которых не ведется обработка ДДК, но взаимодействующих с сегментами обработки ДДК и/или расположенные в среде ДДК, и их название; все внешние и внутренние сетевые подключения с указанием протоколов передачи данных. Должны быть отображены все внешние объекты (с которыми осуществляется взаимодействие через сеть Интернет или через выделенные каналы) с которыми взаимодействуют системные компоненты (например, банки, процессинги, платежные шлюзы, системы фрод-мониторинга и тп). Если внешний объект не принадлежит проверяемой организации и не входит в область оценки, то допускается абстрагирование и изображение такого обекта в виде пиктограммы (например, облако или здание) с указанием его названия; сетевая адресация для каждой подсети и каждого системного компонента с привязкой к интерфейсам; все критичные системные компоненты, их ip-адреса и DNS-имена (в т.ч. POS-терминалы, АТМ, СУБД, веб-серверы, серверы платежных приложений); все системные и инфраструктурные сервисы, а именно NTP, Syslog, DNS, SMTP, POP3, домен контроллеры, балансировщики нагрузки, proxy, SAN, HSM, терминалы и т.п., их ip-адреса и DNS-имена; все активное сетевое оборудование, их ip-адреса и их системные имена в формате FQDN (hostname); все активные сетевые устройства выполняющие функции защиты (МЭ, IDS/IPS, WAF, VPN-шлюзы и т.п.), их ip-адреса и их системные имена в формате FQDN; все дублирующие элементы (резервные серверы и иное резервное оборудование), их ip-адреса и DNS-имена; все АРМ и ноутбуки пользователей. Разрешается группировка АРМ по группам с учетом целей использования АРМ (например, АРМ группы администрирования или АРМ операционистов). Графическое отображение группы может представлять собой несколько пиктограмм АРМ и/или ноутбуков с указанием типа названии группы. В таком случае допускается не указывать для каждого АРМ его ipадрес, но адрес и название подсети их размещения должен быть указан; виртуальные системные компоненты (функционирующие в среде виртуализации) могут отображаться как дискретные элементы инфраструктуры. Например, вируальный сервер может быть изображен в виде отдельно стоящего сервера без привязки к гипервизору. Сервер гипервизора будет изображаться отдельным элементом на схеме. 6 Требования к схемам информационной инфраструктуры 4. Схема сетевой инфраструктуры на физическом уровне Физическая схема отображает сетевую инфраструктуру на 2 уровне модели OSI. На схеме должно быть изображено: физические места размещения проверяемой инфраструктуры все физическое активное сетевое оборудование (проводное и беспроводное) с указанием системных имен в формате FQDN и модели физические серверы и иные устройства (аппаратно-программные платформы) с указанием их системных имен в формате FQDN если на физическом сервере используется виртуализация, то необходимо отобразить все виртуальные компоненты, функционирующие на данном сервере (виртуальные машины, виртуальные сетевые устройства (vSwitch) и интерфейсы (vNIC)), и указать их системные имена в формате FQDN. все внешние и внутренние сетевые подключения с привязкой к портам, в т.ч. подключения на уровне виртуальных машин и виртуальных сетевых устройств 7 Требования к схемам информационной инфраструктуры 5. Схемы информационных потоков Схемы информационных потоков описывают процессы обработки ДДК, реализуемые в Организации. На схеме изображаются субъекты среды ДДК и иные объекты (сторонние организации и т.д.), участвующие в описываемом процессе. Над каждой стрелкой или объектом указывается цифра, обозначающая порядковый номер этапа. Этапом является процесс передачи или обработки данных. Описание каждого этапа приводится в таблице (см. таблицу ниже). Таблица с описанием этапов для каждого процесса должна размещаться под рисунком схемы либо в отдельном файле. Должно выполняться правило: один процесс - одна схема. Не допустимо на одной схеме изображать два и более процесса. Должны быть описаны процессы или этапы обработки ДДК на бумажных носителях (в случае наличия таких процессов в Организации). На схеме должно быть изображено: объекты физического размещения субъектов среды ДДК с указанием их наименования все субъекты среды ДДК, участвующие в описываемом процессе, с указанием их наименования за исключением: o активного сетевого оборудования, кроме случаев, когда полученные или передаваемые данных расшифровываются/зашифровываются посредством функционала такого оборудования. o всех АРМ сотрудников, выполняющих одинаковые функции o резервных/дублирующих системных компонентов o все сторонние организации и/или иные объекты, участвующие в описываемом процессе, с указанием их наименования o места хранения ДДК и дано описание этапов внесения, хранения и извлечения данных из СУБД, файловых хранилищ и т.д. Допускается: не изображать на схеме межсетевое взаимодействие, сети, подсети, схему всей сетевой инфраструктуры организации не изображать и не описывать взаимодействия между системными компонентами при технологическом взаимодействии. Например, процесс получения системного времени от сервера времени сервером, на котором установлено платежное приложение. не изображать и не описывать процессы передачи и обработки данных между компонентами платежного приложения, установленными на одном сервере. Нет необходимости описывать логику работы платежного приложения или иного ПО. указывать над стрелками кроме номеров этапов типы ДДК, протоколы передачи, используемые в рамках определенного этапа. Наименование процесса: № этапа 1 Прием платежей с веб-страниц клиентов Описание этапа, метода передачи и/или обработки Покупатель на сайте клиента совершает покупку. С сайта клиента , покупателя перенаправляют на страницу оплаты Протокол передачи https Обрабатываемые/передаваемые на этапе ДДК PAN, exp.date, Cardholder name Механизм защиты ДДК Шифрование с использованием алгоритма 3DES 8 Требования к схемам информационной инфраструктуры Наименование процесса: № этапа 2 3 Прием платежей с веб-страниц клиентов Описание этапа, метода передачи и/или обработки Организации. Покупатель в форму оплаты вводит реквизиты пластикой карты. Данные передаются на WAF где расшифровываются и анализируются на соответствие политикам безопасности веб-приложения. Данные после анализа передаются на обработку веб-серверу FRONTSRV. … Протокол передачи Обрабатываемые/передаваемые на этапе ДДК Механизм защиты ДДК http PAN, exp.date, Cardholder name нет http PAN, exp.date, Cardholder name нет 9