Какие действия можно предпринять перед началом аудита, чтобы облегчить работу, как себе, так и QSA-аудитору? Что такое матрица данных о держателях карт, и какая схема сети интересует аудитора?
Сергей Шустиков, руководитель направления менеджмента ИБ компании Digital Security, QSA
Сейчас, когда аудит на объекте превратился из диковинки в регулярную ежегодную процедуру для большого количества организаций, настало время подумать о том, как можно его оптимизировать.
Целью сертификационного аудита, как известно, является проверка соответствия информационной инфраструктуры организации требованиям стандарта PCI DSS. Решение о том, можно ли считать требование стандарта выполненным, QSA-аудитор принимает исходя из полученных в процессе аудита свидетельств. Ими могут явиться сведения, полученные в ходе интервьюирования специалистов, личные наблюдения аудитора за настройками устройств и программного обеспечения, результаты выполнения проверочных сценариев, отчеты средств сканирования и анализа сети, и другие факты, свидетельствующие о состоянии защищенности информационной инфраструктуры.
В первую очередь аудитор определяет границы области применимости стандарта PCI DSS, иными словами – составляет перечень компонентов инфраструктуры, хранящих, обрабатывающих и передающих данные о держателях карт, а также связанные с ними системы, то есть - соединения, не отгороженные корректно настроенным межсетевым экраном.
На этом этапе работу существенно может ускорить наличие актуальной схемы сети организации, в части, касающейся хранения, обработки и передачи карточных данных. На схеме следует отразить все без исключения соединения среды данных о держателях карт с внешними сущностями, компоненты, хранящие и обрабатывающие карточные данные, активное сетевое оборудование, наличие сегментации. В идеале, схема должна отражать потоки данных о держателях карт. В первую очередь аудитора интересует схема взаимодействия компонентов на сетевом уровне, но схема канального уровня при этом тоже будет полезна.
Для примера рассмотрим схему информационной инфраструктуры небольшого магазина, изображенную на рисунке 1 (схему в более высоком разрешении можно скачать здесь: http://pcidss.ru/files/pub/img/example_scheme.jpg).
Рис. 1. Схема области применимости стандарта PCI DSS
На схеме мы видим четыре подсети (172.20.0.х, 172.20.1.х, 172.20.2.х, 172.20.3.х), из них два сегмента (172.20.0.х и 172.20.1.х) относятся к среде данных о держателях карт (подсеть POS-терминалов и подсеть серверов соответственно). Также мы видим на схеме пользовательский сегмент (172.20.2.х) и DMZ (172.20.3.х).
На схеме отражены потоки данных о держателях карт:
- красным обозначен поток данных от POS-терминалов к серверу приложения, управляющего контрольно-кассовыми машинами;
- синим – поток данных между приложением и используемой им базой данных;
- желтым – от приложения к серверу, передающему данные в банк-эквайер;
- зеленым – от сервера к банку-эквайеру через DMZ и далее по VPN-туннелю.
Такая схема даёт необходимую для обследования начальную информацию, от неё будет отталкиваться аудитор при проверке выполнения требований PCI DSS.
Вторым важным источником необходимой для аудита информации служит матрица данных о держателях карт. Она содержит три таблицы: «приложения», «хранилища данных» и «серверы» (рисунки 2, 3 и 4 соответственно). Пример заполненной для нашего вымышленного магазина матрицы в формате Microsoft Excel можно скачать здесь: http://pcidss.ru/files/pub/file/example_CHD_matrix.xls.
Рис. 2 Таблица «Приложения»
Рис. 3 Таблица «Хранилища данных»
Рис. 4 Таблица «Серверы»
Из таблиц видно, что данные о держателях карт обрабатываются двумя приложениями – MarketPlus POS и AquirePlus Client. Первое стоит на сервере приложений и управляет контрольно-кассовыми машинами, второе же занимается передачей транзакций банку-эквайеру. Из таблицы видно, что эти приложения используют базы данных Oracle MPOS и MS SQL APC соответственно. Кроме того, в таблице мы видим протоколы, используемые приложениями для передачи карточных данных.
Базы данных описаны на втором листе представленного документа, на нём мы видим версию СУБД, имена таблиц (или представлений), в которых непосредственно хранятся данные о держателях карт, тип хранимых карточных данных и другую ценную с точки зрения аудита PCI DSS информацию. Заполняя эту таблицу, следует учесть все места хранения карточных данных, в том числе плоские файлы (журналы аудита, файлы трассировки и т. п.).
Третья таблица посвящена серверам, на которых установлены приложения и базы данных, либо хранятся файлы, содержащие карточные данные. Здесь важен тип и версия операционной системы, а также их сетевые параметры.
Подробная актуальная матрица данных о держателях карт может существенно ускорить работу аудитора на объекте, так как содержит все необходимые ему исходные данные. Помимо очевидной пользы для аудита, схема сети и матрица данных о держателях карт представляют собой хороший метод описания информационной инфраструктуры, что будет весьма полезно для администраторов.
Скачать комплект материалов, описывающих инфраструктуру нашего вымышленного учебного магазина, в одном архиве можно здесь: http://pcidss.ru/files/pub/file/tutorial_store.rar.
Об авторе
Сергей Шустиков – руководитель направления менеджмента информационной безопасности компании Digital Security. Специализируется на управлении безопасностью. Область профессиональных интересов охватывает разработку систем менеджмента информационной безопасности в соответствии с международными стандартами и проведение аудитов на соответствие требованиям международных и национальных стандартов индустрии защиты информации (PCI DSS, ISO 27001, СТО БР-ИББС-1.0).
Занимается научно-исследовательской деятельностью в области системного анализа методов управления в сфере информационных технологий и информационной безопасности. Преподает ряд специальных дисциплин на кафедре Безопасных Информационных Технологий Санкт-Петербургского Государственного Университета Информационных Технологий Механики и Оптики.
О стандарте PCI DSS
Стандарт PCI DSS (Payment Card Industry Data Security Standard) предназначен для обеспечения безопасности обработки, хранения и передачи данных о держателях платежных карт в информационных системах компаний, работающих с международными платежными системами Visa, MasterCard и другими. Стандарт разработан сообществом PCI Security Standards Council, в которое входят мировые лидеры на рынке платежных карт, такие как American Express, Discover Financial Services, JCB, MasterCard Worldwide и Visa International.
Под действие требований стандарта попадают банки, процессинговые центры, поставщики ИТ-услуг, торгово-сервисные предприятия, и иные организации, обрабатывающие транзакции по международным платежным картам. К части этих компаний международные платежные системы предъявляют требование о прохождении обязательного ежегодного аудита компанией, обладающей статусом QSA.
Текущая версия стандарта 1.2.1 выпущена в июле 2009 года.
наверх
