Системы электронных платежей прочно вошли в повседневную жизнь и стали неотъемлемым атрибутом ведения бизнеса. Вследствие этого участились случаи взлома сетей, кражи персональной информации (номеров кредитных карт, кодов доступа).
Организация PCI (Payment Card Industry) разработала набор рекомендованных правил, позволяющих снизить вероятность кражи личных данных клиентов, который вскоре трансформировался в жесткий стандарт защиты данных для организаций, работающих с системами электронных платежей. Причиной этого послужило банкротство компании CardSystems: в результате электронного взлома злоумышленниками было похищено более 40 млн. номеров кредитных карт.
Стандарт был разработан в январе 2005 года и получил название PCI DSS (Data Security Standard). В декабре 2006 года вышла версия 1.1 этого документа, действующая и по сей день. Все организации, принимающие, передающие или обрабатывающие данные электронных кредитных карт, подлежат обязательной сертификации.
Необходимость сертификации напрямую коснулась и украинских компаний. Недавно компания «МКС Системная интеграция» провела для своих партнеров семинар, посвященный организации защищенной сети и сертификации PCI DSS на базе решений и сервисных услуг Cisco.
PCI DSS — безопасные транзакции
Основным преимуществом стандарта PCI DSS и отличием его от ранее существовавших документов является четкая структуризация и прозрачность, что существенно облегчает внедрение описанных в нем требований. Документ состоит из 12 основных пунктов, разбитых на 6 глав. Общее число детальных требований доходит до 175: описывается весь комплекс мер начиная с построения сегментированной, защищенной сети, ее регулярного мониторинга, тестирования и заканчивая внутренними политиками, разграничением доступа к служебной информации и шифрованием пользовательских данных.
Отсутствие сертификата не только негативно отразится на репутации компании и может привести к снижению курсовой стоимости акций, но и грозит серьезными штрафами при возникновения инцидентов с кредитными картами клиентов. Например, для банков-эквайеров (банки, помогающие продавцам получать платежи по кредитным картам) эта сумма составляет 25 тыс. долл. за каждого клиента. Если организация не сообщила о происшествии, размер штрафа может увеличиться до 500 тыс. долл.
Прохождение сертификации на соответствие стандарту PCI DSS не является одноразовой процедурой. Согласно классификации PCI, все продавцы разделены на четыре категории, а провайдеры — на три в зависимости от количества обрабатываемых транзакций. Чем выше уровень организации в иерархии PCI, тем чаще проводится независимый аудит и сканирование сети на предмет подтверждения соответствию PCI DSS. Сама процедура сертификации разбита на три этапа:
• аудит;
• оценка защищенности (сканирование внешних портов);
• самооценка (анкета, состоящая из 75 пунктов).
Аудит проводится так называемыми QSA (Qualified Security Assessor) — организациями, имеющими аккредитацию у компании Visa. Кроме того, каждый внешний аудитор обязан иметь в штате не менее одного специалиста со статусом Cisco CISSP, CISA или CISM. Сегодня в Украине соответствующим статусом обладают компании «Инком» и «БМС Консалтинг». Окончательное решение о сертификации принимает Visa на основании данных, предоставленных QSA. Компания Master Card признает всех аудиторов, аккредитованных Visa. Сканирование внешних адресов проводится независимыми экспертами со статусом ASV (Approved Security Scan Vendors), аккредитация проходит в Master Card.
Помимо внешнего контроля, PCI рекомендует всем компаниям, работающим с электронными платежами, проводить внутренний аудит с привлечением собственных специалистов не реже, чем раз в квартал.
Cisco предлагает варианты
Компания Cisco совместно со своим партнером, «МКС Системная интеграция», предлагают своим клиентам полный пакет услуг, облегчающих прохождение сертификации. Пакет включает в себя разработку дизайна сети, оценку адекватности реализованных защитных мер, подготовку к реакции на возможные инциденты, анализ беспроводных соединений, внедрение новых систем защиты, мониторинг и уведомление об уязвимостях сети, разработку политик безопасности и обучение сотрудников.
Все активное сетевое оборудование Cisco сертифицировано по стандарту PCI DSS. Это касается как коммутаторов уровня ядра магистральной сети, так и моделей самого нижнего уровня. Этот производитель пропагандирует философию построения сети, в которой меры информационной безопасности являются не опцией, а неотъемлемой частью сетевой инфраструктуры, закладываемой в нее еще на этапе проектирования.
Для мониторинга и генерации отчетов на соответствие не только PCI DSS, но и целому ряду других стандартов информационной безопасности Cisco предлагает программный комплекс Network Compliance Manager. Он позволяет проводить анализ состояния сети, контролировать и управлять ее конфигурацией, разрабатывать сценарии для подготовки к прохождению сертификации. С помощью этого комплекса можно сократить время простоя из-за ошибок в конфигурации с 80% до 20%, уменьшить время настройки нового сетевого устройства с 6 часов до 20 минут, а среднее время обнаружения уязвимости снизить менее чем до двух минут в отличие от 2 недель при ручном режиме конфигурации.
Предприятиям, у которых ИТ-составляющая бизнеса не является профильной, предоставляется возможность арендовать оборудование Cisco. Причем заказчик получает не просто устройство, но и услуги специалистов компании-производителя по его поддержке, настройке, обслуживанию. Это позволяет экономить средства как на самом оборудовании, так и на технических специалистах. Кроме того, упрощается и ведение бухгалтерского учета, поскольку отпадает необходимость ставить оборудование на баланс предприятия. Таким образом, для конечного потребителя процедура построения защищенной сети и получение сертификата становится менее затратной и более простой.