Конечная цель стандарта PCI DSS - снизить финансовые потери из-за мошенничества в мире карточных платежей. Как это происходит? Шесть целей PCI DSS работают вместе, чтобы снизить риски операций по обработке карт. При правильном соблюдении они затрудняют получение посторонними лицами номеров карт и другой конфиденциальной информации.
Есть много разных способов обработки карточных данных. Простое требование, чтобы люди охраняли его, вряд ли приведет к последовательному подходу. Чтобы сделать любую программу информационной безопасности более управляемой, мы стараемся определить ее цели. Тогда каждая цель становится более управляемой единицей работы.
В случае PCI DSS существует шесть (6) целей высокого уровня, определенных PCI SSC. У каждого из них есть одно или несколько требований, поддерживающих его, и каждое требование имеет множество элементов для оценки. Обычно во время оценки мы сосредотачиваемся на этих отдельных позициях. Но это рискует потерять общую картину. Отступив назад и взглянув на шесть целей, мы сможем понять, что такое PCI DSS.
Структура PCI DSS
В PCI DSS есть шесть целей высокого уровня. У каждого есть разное количество пунктов для оценки, однако все цели считаются одинаково важными. Каждая цель должна быть поставлена на место, чтобы вас считали соответствующим стандарту.
Как и большинство мер безопасности, цели предназначены для совместной работы. Вы должны осознать эту часть: самая жесткая конфигурация брандмауэра не может гарантировать безопасность данных о держателях карт, если у вас нет кадровой проверки или должной осмотрительности поставщика.
В этом отношении PCI DSS очень полезен тем, что указывает минимальный набор областей, о которых вам следует беспокоиться. Вы должны планировать выход за рамки требований PCI DSS, но это надежная основа. Большинство стандартов информационной безопасности требуют от руководства проведения оценки рисков для определения набора рисков и уязвимостей для своего бизнеса. PCI DSS также требует этого, но начинается с определенного набора областей, на которых нужно сосредоточиться, и элементов управления, которые необходимо реализовать.
Вы можете легко придраться к отдельным элементам в процедурах тестирования PCI DSS и утверждать, что это не лучшая практика. Хорошим примером является изменение в руководстве по паролю от NIST относительно частоты смены пароля. PCI DSS еще не догнал это. Но в целом цели высокого уровня разумны.
Так что они?
Шесть целей PCI DSS
Шесть общих целей PCI DSS изложены в следующей таблице.
Давайте подробно рассмотрим каждый из них.
Создавайте и поддерживайте безопасную сеть и системы
Если ваше взаимодействие с PCI DSS не ограничивается размещением платежного терминала, управляемого эквайером, вы будете выполнять некоторый базовый уровень системной интеграции. Это может быть так же просто, как сетевой коммутатор, брандмауэр, подключающийся к вашему провайдеру, и несколько терминалов. В тот момент, когда у вас взаимодействуют несколько устройств, вам нужно подумать:
Защитить данные держателей карт
Вся суть стандарта PCI DSS заключается в защите данных о держателях карт. Так почему именно эта цель? Этот вопрос гораздо более сфокусирован, как вы можете убедиться, углубившись в требования. В этом случае вас просят защитить данные держателя карты как:
Поддерживайте программу управления уязвимостями
У всех нетривиальных систем есть уязвимости. Система без известных уязвимостей - это всего лишь система, в которой уязвимости еще не обнаружены . Поскольку в существующем программном обеспечении постоянно обнаруживаются уязвимости, вам необходимо найти способы их устранения. Это требует:
Реализуйте строгие меры контроля доступа
Нет смысла иметь лучшие меры безопасности на сетевом уровне, но позволять каждому устанавливать глупый пароль, например «пароль1» (это безопасно, потому что есть номер!). Вам необходимо контролировать, кто имеет доступ к вашим системам, рассматривая эту проблему с разных сторон:
Регулярно отслеживайте и тестируйте сети
После того, как вы создали хорошо спроектированную систему и контролируете доступ к ней, вам нужно знать, что она делает. Есть несколько причин, по которым вы можете захотеть отслеживать, что происходит в вашей производственной среде:
Поддерживать политику информационной безопасности
В контексте GRC документ Политики - это заявление руководства о том, как все должно быть сделано. Независимо от того, требует ли это шифрования данных держателя карты или выполнения проверки биографических данных перед наймом кого-либо, создается требование к операционному отделу действовать определенным образом.
Многие пункты PCI DSS требуют наличия политики, предписывающей конкретный результат. Политика информационной безопасности документируется и доводится до сведения сотрудников, подрядчиков и поставщиков услуг. Из-за этого политики нельзя просто записать и уложить в архив. Все участники Политики информационной безопасности должны периодически ее просматривать и подтверждать, что они это сделали.
Есть много разных способов обработки карточных данных. Простое требование, чтобы люди охраняли его, вряд ли приведет к последовательному подходу. Чтобы сделать любую программу информационной безопасности более управляемой, мы стараемся определить ее цели. Тогда каждая цель становится более управляемой единицей работы.
В случае PCI DSS существует шесть (6) целей высокого уровня, определенных PCI SSC. У каждого из них есть одно или несколько требований, поддерживающих его, и каждое требование имеет множество элементов для оценки. Обычно во время оценки мы сосредотачиваемся на этих отдельных позициях. Но это рискует потерять общую картину. Отступив назад и взглянув на шесть целей, мы сможем понять, что такое PCI DSS.
Структура PCI DSS
В PCI DSS есть шесть целей высокого уровня. У каждого есть разное количество пунктов для оценки, однако все цели считаются одинаково важными. Каждая цель должна быть поставлена на место, чтобы вас считали соответствующим стандарту.
Как и большинство мер безопасности, цели предназначены для совместной работы. Вы должны осознать эту часть: самая жесткая конфигурация брандмауэра не может гарантировать безопасность данных о держателях карт, если у вас нет кадровой проверки или должной осмотрительности поставщика.
В этом отношении PCI DSS очень полезен тем, что указывает минимальный набор областей, о которых вам следует беспокоиться. Вы должны планировать выход за рамки требований PCI DSS, но это надежная основа. Большинство стандартов информационной безопасности требуют от руководства проведения оценки рисков для определения набора рисков и уязвимостей для своего бизнеса. PCI DSS также требует этого, но начинается с определенного набора областей, на которых нужно сосредоточиться, и элементов управления, которые необходимо реализовать.
Вы можете легко придраться к отдельным элементам в процедурах тестирования PCI DSS и утверждать, что это не лучшая практика. Хорошим примером является изменение в руководстве по паролю от NIST относительно частоты смены пароля. PCI DSS еще не догнал это. Но в целом цели высокого уровня разумны.
Так что они?
Шесть целей PCI DSS
Шесть общих целей PCI DSS изложены в следующей таблице.
| Цель PCI DSS |
|---|
| Создавайте и поддерживайте безопасную сеть и системы |
| Защитить данные держателей карт |
| Поддерживайте программу управления уязвимостями |
| Реализуйте строгие меры контроля доступа |
| Регулярно отслеживайте и тестируйте сети |
| Поддерживать политику информационной безопасности |
Создавайте и поддерживайте безопасную сеть и системы
Если ваше взаимодействие с PCI DSS не ограничивается размещением платежного терминала, управляемого эквайером, вы будете выполнять некоторый базовый уровень системной интеграции. Это может быть так же просто, как сетевой коммутатор, брандмауэр, подключающийся к вашему провайдеру, и несколько терминалов. В тот момент, когда у вас взаимодействуют несколько устройств, вам нужно подумать:
- как они взаимодействуют
- как мне сохранить это в безопасности
Защитить данные держателей карт
Вся суть стандарта PCI DSS заключается в защите данных о держателях карт. Так почему именно эта цель? Этот вопрос гораздо более сфокусирован, как вы можете убедиться, углубившись в требования. В этом случае вас просят защитить данные держателя карты как:
- где бы он ни хранится
- всякий раз, когда он отправляется по сети
Поддерживайте программу управления уязвимостями
У всех нетривиальных систем есть уязвимости. Система без известных уязвимостей - это всего лишь система, в которой уязвимости еще не обнаружены . Поскольку в существующем программном обеспечении постоянно обнаруживаются уязвимости, вам необходимо найти способы их устранения. Это требует:
- иметь доступ к источникам информации об уязвимостях по мере их обнаружения
- наличие процедур реагирования на эти
- определение приоритетов заранее, какие системы следует обновить в первую очередь при обнаружении проблем
Реализуйте строгие меры контроля доступа
Нет смысла иметь лучшие меры безопасности на сетевом уровне, но позволять каждому устанавливать глупый пароль, например «пароль1» (это безопасно, потому что есть номер!). Вам необходимо контролировать, кто имеет доступ к вашим системам, рассматривая эту проблему с разных сторон:
- ограниченный круг людей должен иметь доступ к системам с данными о держателях карт
- их уровень доступа должен быть ограничен деловой необходимостью
- их доступ должен быть строго аутентифицирован, чтобы их нельзя было выдать за другое лицо
- их доступ должен быть ограничен по времени, чтобы предотвратить случайное воздействие
Регулярно отслеживайте и тестируйте сети
После того, как вы создали хорошо спроектированную систему и контролируете доступ к ней, вам нужно знать, что она делает. Есть несколько причин, по которым вы можете захотеть отслеживать, что происходит в вашей производственной среде:
- получать раннее предупреждение о развитии системных проблем до того, как они станут катастрофическими
- предотвращать инсайдерское мошенничество, так как люди должны знать, что их поймают, если они не сделают ничего хорошего
- предоставьте контрольный журнал, если произойдет худшее, и вас нарушат
Поддерживать политику информационной безопасности
В контексте GRC документ Политики - это заявление руководства о том, как все должно быть сделано. Независимо от того, требует ли это шифрования данных держателя карты или выполнения проверки биографических данных перед наймом кого-либо, создается требование к операционному отделу действовать определенным образом.
Многие пункты PCI DSS требуют наличия политики, предписывающей конкретный результат. Политика информационной безопасности документируется и доводится до сведения сотрудников, подрядчиков и поставщиков услуг. Из-за этого политики нельзя просто записать и уложить в архив. Все участники Политики информационной безопасности должны периодически ее просматривать и подтверждать, что они это сделали.
