понедельник, 18 мая 2009 г.

В двух словах \ PCI DSS 1.2

Краткое описание основных положений стандарта PCI DSS версии 1.2, который в настоящее время является необходимым для соблюдения всеми банками (и не только ими), выпускающими и обслуживающими банковские карты.
Краткое описание позволит быстро сориентироваться в требованиях и найти нужные. Разумеется, это не заменяет изучение полной версии стандарта, с которой можно ознакомиться по следующим ссылкам:
- PCI Data Security Standard 1.2 (оригинал на английском языке)
- PCI DSS 1.2 (перевод на русский язык компанией "Информзащита")

Итак. Стандарт PCI DSS 1.2 содержит 12 требований. Вот они:

Межсетевой экран
Требование 1: Установить, настроить и поддерживать конфигурацию МЭ для защиты данных о держателях карт

Необходимо создать стандарты конфигурирования МЭ и роутеров; ограничить соединения между недоверенными сетями (в т.ч. Интернет) и любыми системными компонентами в среде данных платежных карт; установить персональные МЭ на все мобильные и личные компьютеры сотрудников, которые могут напрямую подключаться к Интернет и используются для доступа к сети организации.

Настройки «по умолчанию»
Требование 2: Запрещено использовать настройки безопасности и пароли, установленные производителем «по умолчанию»
До подключения систем к сети необходимо изменить все установленные производителем «умолчания»; создать стандарты конфигураций для всех системных компонент, соответствующие рекомендациям общепринятых стандартов безопасности; организовать шифрование трафика любого неконсольного административного доступа.

Защита данных держателей карт
Требование 3: Обеспечить защиту хранящихся данных держателей карт
Минимизировать хранение данных держателей карт; разработать политику хранения и уничтожения данных; исключить хранение критичных данных аутентификации после авторизации; маскировать номера PAN при отображении и привести их к нечитаемому виду при хранении; обеспечить надлежащую защиту криптоключей шифрования данных о держателях карт, документировать процессы управления этими ключами.

Защита данных держателей карт
Требование 4: Шифровать данные держателей карт при их передаче по открытым, публичным сетям
Использовать стойкую криптографию и протоколы безопасности для защиты данных держателей карт при передаче по открытым, публичным сетям.

Антивирусное ПО
Требование 5: Использовать и регулярно обновлять антивирусное ПО
Установить антивирусное ПО на всех системах, подверженных воздействию вредоносного ПО.

Разработка и поддержка систем
Требование 6: Обеспечить безопасность при разработке и поддержке систем и приложений
Обеспечить своевременную установку самых последних обновлений безопасности на все системные компоненты и ПО; организовать процесс новых выявленных уязвимостей; внедрить процедуры управления изменениями; разрабатывать приложения с учетом требований безопасности (в т.ч. PCI DSS и OWASP).

Доступ к данным держателей карт
Требование 7: Ограничить доступ к данным держателей карт в соответствии со служебной необходимостью
Доступ к системным компонентам и данным держателей карт должен быть предоставлен только тем сотрудникам, которым это необходимо для выполнения своих должностных обязанностей; необходимо внедрить автоматизированную систему контроля доступа; использовать принцип необходимого знания (need-to-know).

Уникальные учетные записи
Требование 8: Каждый человек, имеющий доступ к вычислительным средствам, должен иметь уникальный идентификатор
Каждый пользователь должен иметь уникальный идентификатор; должна быть обеспечена надежная аутентификация (при удаленном доступе из внешних сетей - двухфакторная аутентификация); все пароли должны передаваться и храниться в нечитаемом виде.

Доступ к данным держателей карт
Требование 9: Ограничить физический доступ к данным держателей карт
Внедрить механизмы контроля доступа в помещения, в которых осуществляется обработка и хранение данных держателей карт; использовать средства для отличия сотрудников от посетителей; контролировать доступ и перемещение посетителей. Носители с резервными копиями хранить в защищенных(желательно территориально удаленных) местах. Физически защищать все бумаги и электронные носители, содержащие данные держателей карт, контролировать их перемещение. Обеспечить уничтожение носителей информации, содержащих данные держателей карт, когда их хранение больше не требуется.

Мониторинг сетевых ресурсов
Требование 10: Отслеживать и контролировать любой доступ к сетевым ресурсам и данным держателей карт
Обеспечить связь всех событий доступа к системным компонентам (в особенности доступа с административными привилегиями) с конкретными пользователями; внедрить автоматизированное ведение журналов регистрации событий; синхронизировать системные часы на всех критичных системах; защитить журналы регистрации событий от внесения изменений; ежедневно просматривать журналы регистрации событий и хранить их не менее года.

Тестирование систем безопасности
Требование 11: Регулярно тестировать системы и процессы обеспечения безопасности
Ежеквартально проводить внутреннее и внешнее сканирование сети на предмет уязвимостей, проверять наличие беспроводных точек доступа; раз в год выполнять внутренние и внешние тесты на проникновение. Использовать системы IDS/IPS. Использовать ПО контроля целостности критичных файлов.

Поддержка политики ИБ
Требование 12: Поддерживать политику, регламентирующую вопросы информационной безопасности деятельности сотрудников и контрагентов
Разработать, опубликовать, поддерживать и распространять политику безопасности. Разработать ежедневные процедуры обеспечения безопасности. Разработать политики использования критичных ориентированных на сотрудников технологий (например, технологий удаленного доступа, беспроводных технологий, съемных носителей информации, ноутбуков, карманных компьютеров, использования электронной почты и сети Интернет) для определения допустимого использования этих технологий для всех сотрудников и контрагентов. Назначить сотрудников, ответственных за выполнение обязанностей по управлению ИБ. Внедрить формализованную программу повышения осведомленности сотрудников по вопросам ИБ. Проверять потенциальных сотрудников перед приемом на работу. Внедрить план реагирования на инциденты. Обеспечить готовность для немедленного реагирования на нарушение безопасности какой-либо системы.

Комментариев нет: