Совет PCI выпустил директиву по виртуализации систем, находящихся в области действия стандарта. Директива содержит как указания, так и рекомендации и советы об оптимальной организации структуры как в просто виртуальной среде, так и в становящейся сейчас популярной "облачной".

В последние годы всё больше и больше компаний используют виртуальные среды - иногда для решения части своих задач, а иногда и для поддержания всей инфраструктуры, занимающейся обработкой данных о держателях карт. Сейчас, за полгода до окончательного ввода второй версии PCI DSS, этот документ может особенно помочь тем, кто пока ещё сертифицируется по версии 1.2, и хочет беспроблемно подвести свою виртуальную инфраструктуру под сертификацию по версии 2.0, для работы с которой он и предназначен.

В рамках этой директивы на следующей неделе также состоится вебинар, посвящённый виртуализации. Он пройдёт 28-го и 30-го июня. Записаться на него можно на сайте совета.

Стандарт PCI DSS требует от организации проведения теста на проникновение не реже одного раза в год, а также после внесения значительных изменений в информационную инфраструктуру. Требование 11.3 говорит о том, что тест на проникновение должен выполняться как на сетевом уровне, так и на уровне приложений, при этом тестирование должно выполняться как извне, так и изнутри сети организации.

Выполнить тест на проникновение может как внешний консультант, так и штатный специалист организации, административно независимый от сотрудников и подразделений, ответственных за поддержку и эксплуатацию тестируемых систем.

Как оказалось, в среде специалистов по карточной безопасности встречается заблуждение о том, по каким критериям определяется успех или провал теста на проникновение. Заблуждение заключается в том, что якобы для того, чтобы «засчитать» проникновение, пентестер должен непременно ознакомиться с данными о держателях карт. Кроме того, часто поднимается вопрос о том, проникновения в какие системы считать критичными.

Для того, чтобы развеять заблуждение, обратимся к первоисточнику, а именно – Совету PCI SSC, в частности - к опубликованному им документу Information Supplement: Penetration Testing, дающему однозначные ответы на оба вопроса.

Что касается вопроса «куда надо проникнуть», то есть понятие области тестирования (scope), в которую входит вся среда данных о держателях карт, а также связанные с ней системы. При этом особо отмечается, что если имеет место сегментация сети, надежно изолирующая среду данных о держателях карт, и при этом аудит соответствия PCI DSS доказал адекватность изоляции, то область тестирования можно сократить до границ среды данных о держателях карт. Всё что вошло в область тестирования – всё априори критично, так как имеет отношение к обработке, хранению и передаче данных о держателях карт.

Теперь о критериях тестирования. Совет PCI SSC написал вполне однозначно: целью теста на проникновение является выяснение того, может ли быть получен неавторизованный доступ к ключевым системам и файлам. То есть иными словами – исследовать область тестирования на предмет наличия уязвимостей и проверить возможность их эксплуатации с целью повышения привилегий в системах, входящих в неё. Обнаруженные уязвимости должны быть устранены и затем проведено повторное тестирование. Ни в коем случае ни целью пентестера, ни критерием успешности теста на проникновение не является ознакомление с данными о держателях карт.

В самом деле, давайте представим такую ситуацию – в области тестирования взломано 90% систем, при этом несколькими способами, через десятки уязвимостей. Но данные о держателях карт в соответствии с требованием 3.4 PCI DSS хранились в зашифрованном виде и поэтому пентестер не смог с ними ознакомиться. Что же, считать в таком случае, что тест на проникновение организацией успешно пройден, и ничего устранять не надо? Абсурд.

Тест на проникновение и сканирование ASV являются важными элементами мониторинга информационной безопасности организации, нацеленными на выявление и устранение уязвимостей в крайне критичной информационной инфраструктуре – среде данных о держателях карт. Здесь важно внимательное отношение к любой, даже потенциальной возможности получения несанкционированных привилегий в отношении входящих в неё систем.

Возникает закономерный вопрос: что делать, когда один и тот же процессинговый центр выполняет одновременно функции эквайринга и эмиссии? Ответ — вся инфраструктура процессинга должна соответствовать требованиям PCI DSS, но в область проверки входит только инфраструктура эквайринга.

При этом стоит помнить о том, как стандарт определяет область, попадающую под его требования — это все системы, хранящие, обрабатывающие и передающие данные о держателях карт, а также все связанные системы. Под связанными понимаются системы, соединения с которыми не защищены корректно сконфигурированными межсетевыми экранами.