Поэтапный подход к достижению соответствия PCI DSS версии 3.0

Дата: 21.08.2014

В июле 2014 года совет PCI SSC опубликовал обновленную концепцию поэтапного подхода к выполнению требований PCI DSS версии 3.0.  

Основное назначение документа – предложить упорядоченный перечень мероприятий по приведению компании в соответствие требованиям PCI DSS. Документ предлагает 6 последовательных этапов работ в порядке уменьшения их приоритета:

  1. удаление критичных аутентификационных данных и ограничение хранения данных о владельцах платежных карт;
  2. защита периметра, внутренних и беспроводных сетей;
  3. обеспечение безопасности платежных приложений; 
  4. управление и контроль доступа к сети и среде данных о владельцах платежных карт;
  5. защита хранимых данных о владельцах платежных карт;
  6. устранение оставшихся несоответствий.

В обновленной версии концепции учтены изменения, внесенные в стандарт PCI DSS версии 3.0, и повышен приоритет выполнения ряда требований стандарта (см. таблицу 1).

Таблица 1 – Сведения об изменениях приоритетов требований PCI DSS

Требование PCI DSS

Было

Стало

6.7 Убедиться, что политики безопасности и процедуры разработки для обеспечения безопасности систем и приложений документированы, используются и известны всем заинтересованным лицам

4

3

8.3 Для средств удаленного доступа сотрудников (включая пользователей и администраторов) и любых третьих лиц (включая доступ поставщиков для поддержки или техобслуживания) во внутреннюю сеть из внешней сети должен быть реализован механизм двухфакторной аутентификации

4

2

8.5 Не использовать групповые, совместно используемые или общие идентификаторы, пароли или другие средства (методы) аутентификации …

 

8.5.1 Дополнительное требование для поставщиков услуг: поставщики услуг, имеющие удаленный доступ к помещению клиента (например, для поддержки систем или серверов кассовых терминалов), обязаны использовать уникальные учетные данные для аутентификации (например, пароль/парольная фраза) для каждого клиента

4

2

9.3 Обеспечить контроль физического доступа персонала в области с ограниченным доступом, с учетом следующих требований:

-        доступ должен быть разрешен и предоставляться на основе должностных обязанностей субъекта;

-        доступ прекращается незамедлительно при прегрешении выполнения должностных обязанностей и физические средства для доступа, такие как ключи, карты доступа, и т.д., возвращены или заблокированы

5

2

12.5 Определенному сотруднику или группе сотрудников должны быть назначены следующие обязанности в области управления информационной безопасностью.

 

12.5.3 Разработка, документирование и распространение процедур реагирования на инциденты и сообщений о них, чтобы гарантировать быструю и эффективную обработку всех ситуаций

4

2

12.9 Дополнительное требование к поставщикам услуг:

Поставщики услуг должны в письменной форме подтверждать своим клиентам, что они несут ответственность за безопасность данных владельцев платежных карт, которыми они обладают или иных образом хранят, обрабатывают или передают по поручению клиентов, или с учетом того, что они могут повлиять на безопасность среды данных о владельцах платежных карт

4

2

12.10 Должен быть внедрен план реагирования на инциденты. Организация должна быть готова немедленно отреагировать на нарушение в работе системы.

(включая 12.10.1 – 12.10.6)

4

2

В таблице 2 приведен поэтапный план приведения в соответствие с PCI DSS версии 3.0 для организаций, сертифицированных по предыдущей версии стандарта.

 

Таблица 2 – План поэтапного внедрения новых требований PCI DSS версии 3.0

Этап

Измененное / новое требование PCI DSS

  1.  

Удаление критичных аутентификационных данных и ограничение хранения данных владельцев платежных карт

1.1 Разработать и внедрить стандарт конфигурации межсетевых экранов и маршрутизаторов, который включает:

1.1.3 Актуальную схему потоков данных владельцев платежных карт в системах и компьютерной сети 

12.2 Внедрить процесс оценки рисков, который:

-        проводится как минимум ежегодно и в случае существенных изменений условий функционирования (например, изменение собственника, слияние, переезд и т.д.);

-        предусматривает идентификацию критичных активов, угроз и уязвимостей;

-        предусматривает наличие документированных результатов

  1.  

Защита периметра, внутренних и беспроводных сетей

2.4 Наличие актуального перечня компонентов системы, входящих в область PCI DSS (с описанием функций/назначения каждого из них)

5.1 Установить антивирусное ПО на всех системах, которые подвержены воздействию вредоносного ПО.

5.1.2 Для систем, которые обычно считаются не подверженными воздействию вредоносного ПО, проводить периодическую оценку, для идентификации и оценки изменяющихся угроз, вызванных вредоносным ПО, чтобы удостовериться, что для данных систем не требуется антивирусная защита

5.3 Обеспечить работу антивирусных средств в активном состоянии и невозможность их отключения или изменения пользователем, кроме случаев, когда такое отключение делается на ограниченное время, и санкционировано руководством

9.9 Защитить устройства, которые считывают данные платежных карт при непосредственном физическом взаимодействии с картой, от внесения в них изменений или подмены, в том числе:

9.9.1 иметь и поддерживать в актуальном состоянии перечень таких устройств;

9.9.2 осуществлять периодический осмотр устройств, с целью выявления следов внесения в них изменений или подмены;

9.9.3 проводит обучение персонала с целью информирования о возможности внесения изменения или подмены устройств

11.3 Внедрить методологию тестирования на проникновение, которая включает:

-        принятые в отрасли методы тестирования на проникновение (например, NIST SP 800-115);

-        все критические и пограничные системы, входящие в CDE;

-        тестирование как снаружи, так и изнутри сети;

-        тестирование для подтверждения корректности сегментации сети и механизмов, использованных доля сокращения области распространения требований PCI DSS;

-        определение тестов на проникновение на уровне приложений, с учетом как минимум уязвимостей, перечисленных в требовании 6.5;

-        определение тестов на проникновение на сетевом уровне, включая компоненты, которые обеспечивают функционирование сети, а также операционных систем;

-        включение анализа и рассмотрения угроз и уязвимостей, которые были обнаружены за последние 12 месяцев;

-        определение сроков хранения результатов тестирования и результатов внедрения корректирующих мер

11.3 Внедрить методологию тестирования на проникновение.

11.3.4 В случае использования сегментации для изоляции CDE от других сетей проводить тестирование на проникновение как минимум ежегодно и после любых изменений в методах/механизмах сегментации, чтобы обеспечить работоспособность и эффективность сегментации для изоляции систем, входящих в область требований PCI DSS, от других систем

12.8 Разработать и внедрить политики и процедуры управления отношениями с поставщиками услуг …, в том числе:

12.8.5 Вести информацию о том, какие требования PCI DSS реализуются каждым из поставщиками услуг, а какие — организацией

  1.  

Обеспечение безопасности платежных приложений

2.2.3 Необходимо обеспечить дополнительные механизмы защиты для всех необходимых служб, протоколов и управляющих программ, которые могут быть небезопасными. Например, следует использовать такие технологии защиты, как SSH, S-FTP, SSL или IPSec VPN для защиты таких незащищенных сервисов как NetBIOS, совместное использование файлов, Telnet, FTP и т.д.

 

6.5. В процессе разработки ПО принять меры по недопущению уязвимостей кода, включающие: обучение персонала… и использование инструкций по разработке приложений методами безопасного программирования.

6.5.10 Обеспечить защиту от ошибок при аутентификации и управлении сессиями (для веб-приложений и интерфейсов приложений)

  1.  

Управление и контроль доступа к сети и среде данных владельцев платежных карт

8.2 В дополнение к присвоению уникального идентификатора обеспечить надлежащее управление аутентификацией пользователей для пользователей не являющихся клиентами и администраторов …

8.2.3 Пароли / ключевые фразы должны удовлетворять следующим критериям:

-        минимальная длина не менее 7 символов;

-        содержат как цифровые, так и буквенные символы.

Либо пароли / ключевые фраз должны обладать сложностью и стойкостью эквивалентной указанным выше параметрам

8.6 При использовании других механизмов аутентификации данные механизмы должны быть назначены с учетом следующего:

-        механизм аутентификации должен быть назначен отдельной учетной записи и не должен использоваться для доступа к нескольким учетным записям;

-        механизмы физического и/или логического контроля должны использоваться, чтобы обеспечить возможность использования такого механизма аутентификации для получения доступа только для соответствующей учетной записи

8.7 Убедиться, что политики безопасности и процедуры идентификации и аутентификации документированы, используются и известны всем заинтересованным лицам.

10.2. Обеспечить автоматическое ведение журналов аудита и возможность реконструкции следующих событий:

10.2.5 Использование или изменение механизма идентификации и аутентификации, включая создание новой учетной записи, повышение привилегий, а также всех изменение, добавление, удаление учетных записей с правами администратора;

10.2.6 Инициализация, выключение или остановка протоколирования событий

11.1 Внедрить процесс обнаружения беспроводных точек доступа и осуществлять ежеквартальное обнаружение и идентификацию авторизованных и неавторизованных точек доступа. В том числе:

11.1.1 вести перечень авторизованных точек доступа, включая документальное подтверждение требований бизнеса;

11.1.2 внедрить процедуру реагирования на инциденты, для случая обнаружения несанкционированных точек доступа

11.5 Внедрить механизмы обнаружения изменений … и настроить ПО для контроля изменений на контроль критичных файлов как минимум раз в неделю.

11.5.1 Внедрить процесс реагирования на все уведомления, сформированные системой обеспечения целостности

11.6 Убедиться, что политики безопасности и процедуры мониторинга и проверки безопасности документированы, используются и известны всем заинтересованным лицам

  1.  

Защита хранимых данных владельцев платежных карт

3.7 Убедиться, что политики безопасности и процедуры защиты данных владельцев платежных карт документированы, используются и известны всем заинтересованным лицам