Опыт сертификации по стандарту PCI DSS в компании UCS Конференция «PCI DSS RUSSIA 2010» 17.03.2010 МОСКВА Что такое PCI DSS? • В настоящее время – это основной стандарт информационной безопасности для всей инфраструктуры международных платёжных систем (МПС),впервые опубликованный в 2004 году. • Смысл повсеместного внедрения стандарта – повысить уровень информационной безопасности во всех вовлеченных организациях, максимально затруднив злоумышленникам получение информации о платежных картах, достаточной для совершения мошеннических операций; – эта мера вынужденная и вызвана медленной и неравномерной миграцией банков на более безопасные платежные технологии. Это косвенно подтверждается решениями Visa Int. середины 2009 года ослабить требования соответствия PCI DSS для предприятий, использующих end-to-end шифрование или работающих на рынках с большим проникновением чиповых технологий ( «Risk based approach to PCI DSS Validation») . Важность соответствия PCI DSS для процессинговой компании • В процессинге сходится информация по транзакциям со всей обслуживаемой сети предприятий, обслуживаемых банков, последствия компрометации которой могут быть катастрофическими для бизнеса (особенно для TPP/MSP) ! • МПС Visa и MasterCard разработали программы AIS и SDP, принуждающие все организации инфраструктуры МПС соответствовать PCI DSS. • Соответствия PCI DSS требуют крупные наши клиенты – ТСП и банки. • Несоответствие программам AIS и SDP, тем более приведшее к компрометации, влечёт штрафы со стороны Международных Платёжных Систем, пропорциональные объему скомпрометированных данных. Хронология первого аудита PCI DSS в UCS Причина принятия решения о начале процесса сертификации по PCI DSS – давление со стороны МПС и deadline 31.12.2006, который был определен МПС для Level 1 Сервис-провайдеров. Цель первого аудита со стороны UCS – начать процесс сертификации, чтобы не попасть под штрафы МПС. Хронология первого аудита PCI DSS в UCS • Список уполномоченных аудиторов VISA CEMEA по состоянию на 1 апреля 2006 года – – – – One-Sec UK Ltd AmbironTrustWave Ltd Excelsis Business Solution AG Informzaschita Ltd • Октябрь 2006 года – после проведенных маркетинговых исследований договор о первом аудите с ЗАО «Информзащита» и пред-аудите с ЗАО «Энвижн Груп». Отдельный договор с AmbironTrustWave Ltd на внешнее сканирование. Хронология первого аудита PCI DSS в UCS • Ноябрь 2006 – декабрь 2006 – пред-аудит, проведенный ЗАО «Энвижн Груп». • Цель – подготовка материалов для проведения аудита: – – – – каталогизация ресурсов и систем; подготовка схем и описаний; актуализация имеющейся документации; выверка используемых процедур ИБ и систем ИБ на их соответствие PCI DSS Хронология первого аудита PCI DSS в UCS • Февраль 2007 – март 2007 – аудит, проведенный ЗАО «Информзащита» – по сути проводился анализ сложившегося в Компании положения дел на момент аудита. – одна из областей аудита (эквайринговый процессинг) была для UCS новой, не совпадающей с традиционно аудируемой МПС эмиссионной областью - персонализации карт. – аудит проходил с некоторым напряжением со стороны IT персонала компании, вызванного отсутствием опыта как у персонала UCS так и у аудиторов, что выражалось иногда в констатации несоответствий требованиям стандарта без рекомендаций как их исправить. • Апрель 2007 – Report on Compliance Report on Compliance • Компания UCS не полностью соответствует стандарту • Not in place – 29% • In place – 71% Onsite review results 52 Not in place In place 126 Report on Compliance • Довольно неплохой результат, учитывая данные, которые 29 апреля 2009 года озвучили коллеги из ЗАО «Информзащита» на семинаре «PCI DSS: информационная безопасность в индустрии платежных карт» уже на базе своего более 3 летнего опыта и десятков проведенных аудитов: • в среднем после первого аудита заказчики достигают 53 % соответствия. • после второго – 72% Распределение несоответствий по требованиям стандарта Основные зоны несоответствия • 1 –разработка и управление конфигурацией МЭ • 2 – параметры безопасности и пароли по умолчанию • 6 – разработка и поддержка систем и приложений • 8 – назначение уникального ID • 10 –мониторинг доступа • 11 – тестирование систем и процессов безопасности Key non-compliance areas 40 35 30 25 20 26 23 24 19 15 11 10 5 0 11 19 8 9 6 4 3 3 2 0 0 0 0 Req. 1 Req. 2 Req. 3 Req. 4 Req. 5 Req. 6 Req. 7 Req. 8 Req. 9 7 28 12 5 non-compliances applicable checks Req. 10 8 Req. 11 2 Req. 12 Выводы по результатам первого аудита • Выявлены проблемные области несоответствия стандарту как процедурные, так и связанные с отсутствием ряда необходимых АС ИБ. • Произведенная инвентаризация ресурсов выявила некоторые проблемы, требующие срочного исправления. • Пришло понимание масштабности стоящих задач, вызванных сложностью сетевой инфраструктуры Компании, на балансе которой на тот момент находилось три процессинговых решения. Как следствие – понимание необходимости привлечения в качестве консультанта независимой компании системного интегратора. Хронология второго аудита PCI DSS в UCS • • Сентябрь 2007 – договор с ЗАО «Инфосистемы Джет» на модернизацию системы ИБ UCS в соответствии с требованиями PCI DSS. Отдельный договор на сам аудит. Октябрь 2007 – декабрь 2008 работы в рамках заключенного договора: – проведены углубленные исследования текущего состояния ИБ, сетевой инфраструктуры, проведена категоризация ресурсов и систем; – предложен план модернизации сети компании и системы ИБ, утвержден бюджет; – проведены работы по поэтапной перестройке сети с тестированием всех изменений; – серьезная переработка имеющейся документации и разработка новой; – приведение в соответствие требованиям процедур ИБ; – приобретение, тестирование и внедрение аппаратного и программного обеспечения, необходимого для различных АС ИБ; – заключены договоры с ASV и проведены работы по внешнему и внутреннему тестированию на проникновение, периодическому внешнему и внутреннему сканированию. В качестве ASV выступали TrustWave, ЗАО «Инфосистемы Джет». Хронология второго аудита PCI DSS в UCS • Декабрь 2008 – январь 2009 – аудит, проведенный QSA «Инфосистемы Джет» • Со стороны QSA аудит проводился сертифицированным аудитором, не участвовавшим в работах по подготовке аудита. • Все работы проведены с минимальным воздействием на текущие бизнес-процессы и оперативную доступность предоставляемых компанией сервисов Хронология второго аудита PCI DSS в UCS • Аудит проходил в благоприятном и конструктивном ключе как со стороны аудитора, так и IT персонала компании. • 30 января 2009 года QSA был подготовлен и направлен в Visa Int. Report on Compliance (ROC) Report on Compliance • In place – 92% • Not In place – 8% По всем невыполняемым пунктам внедрены компенсирующие меры, одобренные Visa Int. Onsite review results 22 Not in place In place 221 Хронология второго аудита PCI DSS • 15 ферваля 2009 года UCS получила AOC (сертификат соответствия) PCI DSS 1.2 Attestation of Compliance Результаты второго аудита • UCS – первой из Российского банковскопроцессингого сообщества добилась соответствия PCI DSS; • Попали в соответствующие листинги МПС сертифицированных провайдеров; • Выполнили настойчивые требования наших клиентов банков и ТСП, в основном с западными корнями, которые для соответствия PCI DSS обязаны использовать сертифицированного сервиспровайдера; • Провели полную диспансеризацию системы ИБ компании и серьезно повысили уровень ИБ; • Потрачено больше 2 лет и около 1 млн. долларов. Хронология третьего аудита PCI DSS в UCS • • Август 2009 – договор с ЗАО «Инфосистемы Джет» на предсертификационный аудит и непосредственно на сам аудит. Сентябрь 2009 – декабрь 2009 работы в рамках предсертификационного аудита: – подготовка и анализ документации, новых отчетов о сканировании и внешнего теста на проникновение, проводимых компанией TrustWave; – подготовка плана и проведение интервью со специалистами; – проведение внутреннего теста на проникновение силами ЗАО «Инфосистемы Джет»; – проведение работ по увеличению эффективности системы управления событиями ИБ - Symantec SIM, в частности: обновлена версия системы до 4.6, улучшена система оповещения администраторов по e-mail, добавлены ряд новых и оптимизированы имевшиеся правила корреляции событий с целью уменьшения несущественных срабатываний; – на базе проведенных работ с системой Symantec SIM был пересмотрен процесс управления инцидентами ИБ. В процесс были внесены существенные изменения, которые позволяют более эффективно и быстро обрабатывать события и инциденты ИБ, вовлекать в процесс более широкий круг сотрудников компании; Хронология третьего аудита PCI DSS в UCS • Помимо работ в рамках предсертификационного аудита в течение всего 2009 года в компании проводились работы по усилению контроля доступа и хранения конфиденциальной информации, которые особенно активизировались после приобретения весной 2009 года UCS компанией Global Payments Inc., в частности: • миграция на технологию терминального доступа, технологию VMware; • начато внедрение решений по безопасному хранению конфиденциальной информации на основе шифрования баз данных, их резервных копий, жестких дисков рабочих станций и ноутбуков. Хронология третьего аудита PCI DSS в UCS • Январь-февраль 2010 – аудит, проведенный QSA «Инфосистемы Джет» • Со стороны QSA аудит проводился сертифицированным аудитором, не участвовавшим в работах по подготовке аудита. • 12 марта 2010 года QSA был направлен в Visa Int. AOC Результаты третьего аудита • UCS – надеется на вторичное подтверждение соответствия PCI DSS; • Получила дальнейшее развитие система ИБ компании, на что было потрачено несколько сотен тысяч долларов. Вопросы? Начальник Управления по контролю за рисками UCS Кузнецов Александр Николаевич Тел.: (095) 234-18-22 Факс: (095) 234-18-21 E-mail: kualex@abgcard.ru