Выпущенный более десяти лет назад, стандарт PCI DSS является одним из наиболее развитых и проработанных документов в сфере информационной безопасности. Несмотря на это, совет по стандартам безопасности данных PCI ежегодно уточняет положения стандарта PCI DSS и выпускает дополнительные методические материалы. Так, в 2016 году вышла версия 3.2. Она вносит уточнения в существующие требования, самое важное их которых – перенос дедлайна по прекращению использования SSL и ранних версий TLS на июль 2018 года. Помимо этого, версия 3.2 содержит другие масштабные требования.
Стоит отметить, что все новые требования версии 3.2 вступят в силу 1 февраля 2018 г. Фактически, у организаций, попадающих под действие PCI DSS, остается всего один год на реализацию этих требований.
АУДИТОР - СВИДЕТЕЛЬ
Как показывает практика проведения аудитов на соответствие требованиям стандарта PCI DSS, а также результаты расследований компрометаций данных платежных карт, организации продолжают испытывать сложности в попытках достижения и поддержания соответствия PCI DSS. Одними из самых проблемных остаются требования по ежедневному мониторингу событий информационной безопасности, реагированию на инциденты, контролю уязвимостей, в том числе проведению внутренних и внешних ежеквартальных сканирований уязвимости для всех системных компонент в области действия PCI DSS.
Помимо выполнения проблемных требований стандарта PCI DSS, многие организации не справляются с построением процесса, обеспечивающего непрерывное соответствие требованиям стандарта, и продолжают рассматривать задачу соответствия требованиям PCI DSS как срез на момент проведения аудита. Совет PCI SSC давно обращает внимание организаций, попадающих под действие PCI DSS, на необходимость поддержания соответствия требованиям стандарта в промежутке между аудитами. Так, в версии 3.0 PCI DSS, опубликованной в 2013 году, внедрение процессов BAU (Business-as-Usual) являлось одним из основных тезисов, хотя и не было обязательным требованием стандарта.
ВЕРСИЯ 3.2
Очевидно, что совет PCI SSC счел рекомендательный характер BAU недостаточно эффективным, и элементы BAU в версии 3.2 были добавлены в виде обязательных требований. Например, для соответствия требованию 12.11 сервис-провайдеры должны будут ежеквартально проводить мини-аудиты выполнения требований стандарта. Показательно, что под такой аудит должны попадать те самые проблемные требования PCI DSS - выполнение ежедневного мониторинга событий информационной безопасности и анализа логов, реагирование на инциденты, процесс управления изменениями и так далее.
Другое изменение в новой версии PCI DSS – требование по использованию многофакторной аутентификации при неконсольном доступе администраторов к среде данных платежных карт. С момента опубликования данное требование вызвало горячее обсуждение, как среди QSA-аудиторов, так и среди компаний-обработчиков данных платежных карт. Результаты многочисленных тестов на проникновение, проведенных «Информзащитой», подтверждают слабость паролей как единственного фактора аутентификации. Поэтому мы приветствуем добавление этой меры защиты.
УТОЧНЕНИЯ ПРОДОЛЖАЮТСЯ
Помимо очевидных затрат, которые несет в себе внедрение многофакторной аутентификации, стоит отметить, что совет PCI SSC продолжает вносить уточнения в само понятие многофакторной аутентификации и возможные методы ее реализации. Например, совет PCI рекомендует отказаться от использования SMS-сообщений в качестве одного из факторов аутентификации.
Еще одно интересное требование в новой версии PCI DSS было добавлено для сервис-провайдеров: этим организациям необходимо будет как минимум два раза в год проводить тестирование на проникновение для средств обеспечения сегментации. Требование еще раз подчеркивает важность подхода BAU для соответствия PCI DSS, так как поддержание в актуальном состоянии области действия PCI DSS – один из важнейших его элементов.
ОБЛАСТЬ ДЕЙСТВИЯ
Вернемся к вопросу определения и подтверждения области действия стандарта PCI DSS. Правильное определение области действия является основополагающим моментом в достижении соответствия требованиям PCI DSS. Надо сказать, что, несмотря на более чем десятилетнюю историю существования стандарта, эта задача до сих пор представляет сложность для многих организаций.
В декабре 2016 года совет PCI SSC предпринял существенный шаг в разъяснении вопроса определения области действия, опубликовав официальные рекомендации на эту тему. Эти рекомендации должны помочь и проверяемым организациям, и QSA-аудиторам в нахождении общего языка как при первоначальном определении области действия, так и при ее подтверждении на сертификационном аудите.
Ключевым понятием в вопросе определения области действия PCI DSS является среда данных платежных карт (CDE). Повторяя определение, приведённое в стандарте, среда данных платежных карт – это люди, процессы и технологии, реализующие хранение, обработку и передачу данных платежных карт.
НЕ МЕНЯЮТ, А ДОПОЛНЯЮТ
В целом, опубликованные в декабре рекомендации не меняют существовавшие ранее определения, а дополняют их. Так, документ закрепляет 3 категории системных компонент– системы среды данных платежных карт (CDE systems), подключенные системы и системы, влияющие на безопасность CDE (Connected-to and/or Security-Impacting Systems), системы, исключенные из области действия PCI DSS (Out-of scope systems). При этом, новые рекомендации вносят небольшие уточнения в эти понятия. Например, любые системные компоненты, находящиеся в одном сегменте с системами, обрабатывающим данные платежных карт, отнесены к системам CDE, независимо от их назначения и причины размещения в данных сегментах, тогда как ранее многие организации считали такие системные компоненты или подключёнными, или и вовсе исключенными из области действия.
Новые рекомендации также обращают внимание на то, что во многих случаях компрометации данных платежных карт, нарушители получали доступ к среде данных карт через исключенные из области оценки системы. Поэтому организациям не стоит полагаться на реализацию мер обеспечения безопасности только для области действия PCI DSS – распространенные меры защиты должны быть внедрены и в остальной сети организации. К таким мерам защиты относятся своевременная установка обновлений безопасности, защита от вредоносного кода, управление доступом. Кроме этого, организациям стоит подумать об использовании дополнительных средств контроля доступа (например, хостовых межсетевых экранов и систем обнаружения вторжений) между подключёнными системами и системами вне области действия PCI DSS.
НЕ ОБЯЗАТЕЛЬНЫЕ, НО ПОЛЕЗНЫЕ
Совет PCI SSC продолжает обращать внимание на то, что некоторые средства защиты, хотя и не являются обязательными для соответствия требованиям PCI DSS, могут значительно облегчить достижение и поддержание соответствия. К таким средствам относятся, например, DLP-системы, средства Data Discovery и Computer Forensics. Использование средств Data Discovery позволит проводить автоматизированный поиск мест хранения данных платежных карт во всей сети организации, вместо гадания о возможных местах хранения данных и ручного поиска с помощью регулярных выражений. Использование DLP также повышает степень уверенности и проверяемой организации, и QSA-аудитора в правильном функционировании механизмов сегментации. Например, совет PCI SSC рекомендует при использовании терминального доступа к среде данных платежных карт, контролировать с помощью DLP отсутствие утечки данных из CDE.
Как неоднократно обсуждалось, банкоматы и другие терминальные устройства, с точки зрения PCI DSS, являются таким же системным компонентом, как серверы и рабочие станции, и поэтому они должны соответствовать всем применимым требованиям стандарта. Данная точка зрения подтверждена и международными платежными системами.
В заключение хочется отметить, что постоянная консультационная поддержка QSA-аудитора поможет поддерживать соответствие требованиям PCI DSS в течение года, а также облегчит реализацию новых требований и рекомендаций совета PCI SSC.