Подготовка к аудиту – схема сети и матрица данных о держателях карт

Сергей Шустиков - руководитель направления менеджмента ИБ компании Digital Security, QSA

Сейчас, когда аудит на объекте превратился из диковинки в регулярную ежегодную процедуру для большого количества организаций, настало время подумать о том, как можно его оптимизировать.

Целью сертификационного аудита, как известно, является проверка соответствия информационной инфраструктуры организации требованиям стандарта PCI DSS. Решение о том, можно ли считать требование стандарта выполненным, QSA-аудитор принимает исходя из полученных в процессе аудита свидетельств. Ими могут явиться сведения, полученные в ходе интервьюирования специалистов, личные наблюдения аудитора за настройками устройств и программного обеспечения, результаты выполнения проверочных сценариев, отчеты средств сканирования и анализа сети, и другие факты, свидетельствующие о состоянии защищенности информационной инфраструктуры.

В первую очередь аудитор определяет границы области применимости стандарта PCI DSS, иными словами – составляет перечень компонентов инфраструктуры, хранящих, обрабатывающих и передающих данные о держателях карт, а также связанные с ними системы, то есть - соединения, не отгороженные корректно настроенным межсетевым экраном.

На этом этапе работу существенно может ускорить наличие актуальной схемы сети организации, в части, касающейся хранения, обработки и передачи карточных данных. На схеме следует отразить все без исключения соединения среды данных о держателях карт с внешними сущностями, компоненты, хранящие и обрабатывающие карточные данные, активное сетевое оборудование, наличие сегментации. В идеале, схема должна отражать потоки данных о держателях карт. В первую очередь аудитора интересует схема взаимодействия компонентов на сетевом уровне, но схема канального уровня при этом тоже будет полезна.

Для примера рассмотрим схему информационной инфраструктуры небольшого магазина, изображенную на рисунке 1 (в более высоком разрешении её можно скачать здесь).

Рис. 1. Схема области применимости стандарта PCI DSS

На схеме мы видим четыре подсети (172.20.0.х, 172.20.1.х, 172.20.2.х, 172.20.3.х), из них два сегмента (172.20.0.х и 172.20.1.х) относятся к среде данных о держателях карт (подсеть POS-терминалов и подсеть серверов соответственно). Также мы видим на схеме пользовательский сегмент (172.20.2.х) и DMZ (172.20.3.х).

На схеме отражены потоки данных о держателях карт:

• красным обозначен поток данных от POS-терминалов к серверу приложения, управляющего контрольно-кассовыми машинами;

• синим – поток данных между приложением и используемой им базой данных;

• желтым – от приложения к серверу, передающему данные в банк-эквайер;

• зеленым – от сервера к банку-эквайеру через DMZ и далее по VPN-туннелю.

Такая схема даёт необходимую для обследования начальную информацию, от неё будет отталкиваться аудитор при проверке выполнения требований PCI DSS.

Вторым важным источником необходимой для аудита информации служит матрица данных о держателях карт. Она содержит три таблицы: «приложения», «хранилища данных» и «серверы». Пример заполненной для нашего вымышленного магазина матрицы в формате Microsoft Excel можно скачать здесь.

Из таблиц видно, что данные о держателях карт обрабатываются двумя приложениями – MarketPlus POS и AquirePlus Client. Первое стоит на сервере приложений и управляет контрольно-кассовыми машинами, второе же занимается передачей транзакций банку-эквайеру. Из таблицы видно, что эти приложения используют базы данных Oracle MPOS и MS SQL APC соответственно. Кроме того, в таблице мы видим протоколы, используемые приложениями для передачи карточных данных.

Базы данных описаны на втором листе представленного документа, на нём мы видим версию СУБД, имена таблиц (или представлений), в которых непосредственно хранятся данные о держателях карт, тип хранимых карточных данных и другую ценную с точки зрения аудита PCI DSS информацию. Заполняя эту таблицу, следует учесть все места хранения карточных данных, в том числе плоские файлы (журналы аудита, файлы трассировки и т. п.).

Третья таблица посвящена серверам, на которых установлены приложения и базы данных, либо хранятся файлы, содержащие карточные данные. Здесь важен тип и версия операционной системы, а также их сетевые параметры.

Подробная актуальная матрица данных о держателях карт может существенно ускорить работу аудитора на объекте, так как содержит все необходимые ему исходные данные. Помимо очевидной пользы для аудита, схема сети и матрица данных о держателях карт представляют собой хороший метод описания информационной инфраструктуры, что будет весьма полезно для администраторов.

Скачать комплект материалов, описывающих инфраструктуру нашего вымышленного учебного магазина, в одном архиве можно здесь.