10 сентября 2010 года состоялось торжественное вручение сертификата соответствия специалистам компании MOBI.Деньги, по праву заслужившим столь высокую оценку своей работы по обеспечению безопасности обрабатываемых данных о держателях карт. В течение восьми месяцев компания прошла путь от предварительной оценки соответствия платежных систем компании требованиям PCI DSS до успешного прохождения сертификационного аудита.

В ходе выполнения работ осуществлялась консультационная поддержка проекта специалистами Digital Security, начавшаяся с разработки рекомендаций по повышению защищенности платежной инфраструктуры и продолжавшаяся до полной готовности компании к сертификации.

Добросовестное выполнение запланированных мероприятий позволило компании MOBI.Деньги с успехом пройти необходимые испытания на прочность — тест на проникновение, внешнее сканирование и, конечно же, сертификационный аудит на соответствие PCI DSS.

На фото слева направо: начальник отдела системного администрирования MOBI.Деньги Александр Львов, ведущий аналитик по ИБ Digital Security Евгений Безгодов, руководитель направления менеджмента ИБ Digital Security Сергей Шустиков, инженер ИБ MOBI.Деньги Артём Алфимцов, руководитель СТК MOBI.Деньги Иван Паднюк, руководитель проектов MOBI.Деньги Екатерина Кошкарова.

«Этот проект поставил перед всеми его участниками много нетривиальных задач, поскольку творческий подход специалистов MOBI.Деньги породил во многом уникальный для России платежный технологический комплекс. При этом все стоявшие перед участниками проекта задачи были успешно решены. Это позволяет нам с уверенностью говорить о том, что на выходе мы получили хорошо защищенную информационную инфраструктуру», сказал Сергей Шустиков, руководитель направления менеджмента информационной безопасности Digital Security.

«Сотрудники компании MOBI.Деньги показали себя слаженной командой настоящих профессионалов, оперативно и качественно выполняющей самые сложные задачи. Мы желаем им сохранять достигнутый уровень качества командной работы при выполнении всех процессов защиты данных о держателях карт, чтобы с готовностью подходить к ежегодному подтверждению своего статуса соответствия PCI DSS», подчеркнул Евгений Безгодов, ведущий аналитик по информационной безопасности Digital Security.

Илья Медведовский, директор Digital Security, особо отметил: «Успешным завершением очередного проекта по подготовке и сертификации по стандарту PCI DSS наша компания подтвердила свой статус одного из лидеров уже сформировавшегося в СНГ рынка аудита и консалтинга по стандартам PCI и PA-DSS. Качество наших работ является основой безопасности бизнеса наших клиентов в такой критичной сфере, как обработка карточных транзакций. При подготовке к сертификации и последующем аудите платежных систем или приложений заказчиков нашей основная задачей является поиск индивидуального подхода к каждому из них для оптимального выполнения всех требований стандартов Совета PCI SSC».

Подводя итоги, Екатерина Кошкарова, руководитель проекта по сертификации компании MOBI.Деньги, сказала: «По результатам предварительной оценки соответствия требованиям PCI DSS уже существующей инфраструктуры и бизнес-процессов компании, проведенной экспертами Digital Security, было принято решение о масштабной реорганизации платежной инфраструктуры с целью создания области с четкими границами действия требований стандарта PCI DSS. В рамках данной области была создана новая сетевая инфраструктура, в которой был развернут новый процессинговый центр, разработанный с учетом требований стандарта и комментариев экспертов Digital Security, кроме того были пересмотрены и созданы новые процессы, обеспечивающие как основную деятельность компании, так и информационную безопасность. В результате выполнения проекта мы приобрели новые знания и опыт в сфере построения защищенных систем и бизнес-процессов компании. Не смотря на достигнутые результаты, мы не намерены останавливаться, и в дальнейшем будем развивать и совершенствовать уровень защищенности информационной инфраструктуры компании МОБИ.Деньги. Хотим выразить благодарность специалистам Digital Security за помощь в успешной подготовке и реализации нашего проекта».

Компания MOBI.Деньги работает в сфере электронных платежей и мобильной коммерции на территории РФ и предлагает широкий спектр сервисов для оплаты товаров и услуг, а также осуществления денежных переводов. Проект MOBI.Деньги начал свое существование в 2003 году в рамках группы компаний PayCash, которая обладает более чем десятилетним опытом развития платежных технологий. Среди наиболее известных её партнёров — ЗАО «Вымпелком», ОАО КБ «Юнистрим», ОАО «Банк «Таврический», ЗАО «Скайлинк», Яндекс.Деньги, iFree, Монета Экспресс (США) и другие. ЗАО «MOBI.Деньги» является правообладателем интеллектуальной собственности PayCash. На сегодняшний день в перечне партнеров компании представлены более 1000 организаций, предоставляющих услуги мобильной коммерции конечному потребителю.

На одном из недавних аудитов мне снова пришлось столкнуться с тем, что в компании применяются объемные, слабоструктурированные нормативные документы в области информационной безопасности. Каждый из таких документов содержит описание сразу нескольких процессов, выполняемых разными подразделениями и должностными единицами.

В результате неудобства работы пользователей с такими документами, компании приходится затрачивать больше ресурсов на внедрение описанных в них процессов, и прежде всего — на обучение пользователей. Кроме того, сложность документов, перегруженных лишней для конкретного сотрудника информацией, повышает риск непреднамеренного нарушения его требований.

Форма имеет значение!

Следует уделять внимание созданию удобной для пользователей структуры нормативных документов, чтобы в них можно было легко ориентироваться. Каждый сотрудник должен читать и использовать только те нормы, которые касаются именно его самого и его подчиненных. Для этого необходимо, чтобы каждый отдельный документ описывал только один процесс или группу связанных процессов, выполняемых одними и теми же лицами.

При работе над формой нормативных документов их автору необходимо смотреть на читателей документов, как на собственных клиентов. Следует создать дружественный и понятный интерфейс взаимодействия между сотрудниками компании и подразделением, ответственным за информационную безопасность.

О том, как создать оптимальную структуру нормативных документов в области информационной безопасности, написано в статьях «С чего начинается безопасность?» и «Процессы информационной безопасности».

За 4 дня до начала лета, 27 мая 2010 года в КБ «Трансинвестбанк» (ООО) состоялось торжественное вручение сертификата соответствия стандарту PCI DSS. Во встрече приняли участие вице-президент КБ «Трансинвестбанк» Евгений Горячев и генеральный директор компании, выполнившей сертификационный аудит — ООО «Сисхнет Евразия», Мария Шипкова.

Несмотря на жару, установившуюся в европейской части России, самым плодотворным месяцем лета оказался июль.

В июле компания «Информзащита» вручила сертификат соответствия PCI DSS ЗАО «Петрокарт», по результатам выполненного проекта по подготовке к сертификации и сертификационного аудита.

Девятым числом июля датирован сертификат соответствия PCI DSS, выданный платежному шлюзу «Юнителлер» по результатам комплексного полугодового проекта по подготовке и сертификации её информационной инфраструктуры, успешно завершенного специалистами компании Digital Security.

Конец июля ознаменовался повторным подтверждением соответствия ООО «ПэйОнлайн Систем» требованиям PCI DSS, аудитором выступила компания Digital Security.

Летняя тенденция наглядно демонстрирует результативность выбранной российскими представителями индустрии платежных карт стратегии на повышение безопасности своего бизнеса до уровня международных требований.

Digital Security, обладая статусом PCI QSA с 2008 года, проводит аудит и сертификацию компаний, работающих с платежными системами Visa и MasterCard на соответствие PCI DSS на всей территории России, стран СНГ и Балтии. Получение нового статуса позволит Digital Security предоставить заказчикам услуги по сертификации по стандарту PA-DSS платежных приложений, участвующих в обработке карточных транзакций.

Илья Медведовский, директор Digital Security: «Получение статуса PA QSA является еще одним большим шагом в рамках общей стратегии развития нашей компании, который, с одной стороны, еще больше укрепляет позиции Digital Security как одного из лидеров в области PCI DSS в России и странах СНГ, а, с другой стороны, что крайне важно как для нас, так и для наших заказчиков не только из банковской сферы — факт официальной сертификации Советом PCI SSC нашей испытательной лаборатории, входящей в состав исследовательского центра DSecRG. Это является дополнительной гарантией традиционно высокого уровня качества наших услуг в области аудита безопасности бизнес приложений, ERP-систем, систем ДБО — одной из ключевых специализаций нашей компании, занимающей лидирующие позиции в данной области. Факт получения сотрудниками статуса PA QSA является еще одним официальным признанием нашего опыта в сфере анализа защищенности приложений».

Отчет о Соответствии (Report on Compliance) и План мероприятий (Action Plan) — это два отчетных документа, рождением на свет которых оканчивается процедура аудита, если в ходе такового не было констатировано полное соответствие стандарту PCI DSS. При этом, Отчет о Соответствии подготавливает QSA-аудитор, а вот План Мероприятий — это продукт совместной деятельности аудитора и клиента.

Что же такое План Мероприятий? Многие ошибочно считают, что этот документ раскрывает детали пути к соответствию настолько, что никаких вопросов в дальнейшем не возникнет. В действительности под этим громким названием скрывается всего-навсего вспомогательный отчетный документ, форма которого разработана и утверждена Советом PCI DSS. Выглядит он вот так: Prioritized_Approach_PCI_DSS_version1_2.xls .

На первом листе книги MS Excel приведены инструкции по заполнению документа. Вторая страница являет собой краткое содержание Отчета о Соответствии, основной тут является графа «Status (Статус)», в которой для каждого требования указывается, выполнено оно или нет. Эту информацию предоставляет QSA, проводивший аудит. На третьем листе внизу есть резюмирующая таблица из 6 строк, соответствующих этапам Приоритетного подхода. В этой таблице самый правый столбец «Estimated Date for Completion Milestone (Ориентировочная дата достижения соответствия по данному этапу)» заполняется Заказчиком, исходя из собственных планов на будущее и наличия соответствующих ресурсов. Эта таблица с датами достижения соответствия PCI DSS предоставляется в международные платежные системы (МПС) и служит для них ориентиром, от которого можно отталкиваться при оценке масштабов бедствия.

Итак, мы выяснили, что под громким названием «План Мероприятий» скрывается сугубо формальный отчетный документ, подготавливаемый совместными усилиями QSA-аудитора и Заказчика, с целью информирования МПС о результатах проведенного аудита.

А вот если Заказчик хочет видеть документ, открывающий ему путь к соответствию PCI, с подробным описанием рекомендуемых мероприятий по устранению несоответствий информационной инфраструктуры, то для этого следует уточнить у своего QSA о возможности заказа такой услуги, как «Консалтинг по приведению в соответствие».

Как было отмечено в прошлой заметке о серьезном ужесточении позиции Совета PCI в отношении качества проводимого аудита: "Совет будет выборочно проверять Отчеты о Соответствии, а также сопоставлять представленную в них информацию с собранными в ходе аудита свидетельствами с целью поиска критичных нарушений, за которые последует лишение компании-аудитора статуса QSA, а также пересмотр результатов проведенных ею аудитов, вплоть до отзыва выданных ею Сертификатов Соответствия".

Для заказчика это означает, что не стоит считать, что если приглашать всегда одного и того же QSA, то таким образом можно всегда скрывать те или иные несоответствия (если предположить, что QSA пошел на сговор с клиентом, и закрыл глаза на сознательное нарушение требований стандарта или, что еще скорее, он просто не обладает достаточной квалификацией).

В частности, применительно к пентестам следует ОСОБО обратить внимание на следующие ставшие теперь крайне критичными нарушения:

• заведомо ложная трактовка аудитором требований стандарта;

• обозначение в Отчете о Соответствии невыполненного требования как выполненного.

Это означает, что теперь заказчикам стоит обратить самое пристальное внимание на порочную практику, когда для псевдо удешевления стоимости проекта вместо квалифицированных пентестеров они пользуются услугами непрофессионалов, в том числе, к сожалению, иногда по недоразумению, обладающих даже статусом QSA.

Подобные «пентестеры», прикрываясь своим статусом как щитом, идут на откровенное нарушение приведенных выше принципов, ЗАВЕДОМО выдавая за пентест обычный отчет сканера, являющийся всего лишь автоматизированной проверкой (необходимость которой описана в другом требовании стандарта)!

Теперь такая, ставшая, к сожалению, в последнее время у многих заказчиков достаточно типовой, порочная практика проведения дешевого (только для формального соблюдения требования стандарта), но неквалифицированного пентеста (по сути, автоматизированного сканирования) становится КРАЙНЕ накладной не только для QSA (который потеряет статус), но и, что самое главное, для заказчика - он немного сэкономит, но потеряет и Сертификат Соответствия, и репутацию.

Заказчикам следует обратить пристальное внимание на качество и стоимость пентеста. В данном случае или качественно, или дешево - третьего здесь не дано.

"Опасайтесь подделок!".

На ежегодной встрече QSA-аудиторов Совет PCI SSC объявил об ужесточении требований к процессу проведения сертификационного аудита.

В рамках программы поддержки качества Совет будет выборочно проверять Отчеты о Соответствии, а также сопоставлять представленную в них информацию с собранными в ходе аудита свидетельствами.

Меры, направленные на обеспечение объективности onsite-оценки выполнения требований стандарта, помимо оценки качества Отчетов о Соответствии, включают в себя также оценку деятельности компании-QSA и компетентности QSA-аудиторов.

Целью программы поддержки качества является обеспечение четырех основополагающих принципов деятельности QSA-аудитора: объективности, обоснованности, компетентности и сознательности.

К критичным нарушениям QSA-аудитором процедуры проверки относятся:

• сокрытие аудитором факта хранения критичных аутентификационных данных в инфраструктуре проверяемой организации;

• отсутствие статуса QSA у лица, руководящего процессом аудита на объекте;

• заведомо ложная трактовка аудитором требований стандарта;

• обозначение в Отчете о Соответствии невыполненного требования как выполненного.

В случае обнаружения Советом таких нарушений последует лишение компании-аудитора статуса QSA, а также пересмотр результатов проведенных ею аудитов, вплоть до отзыва выданных ею Сертификатов Соответствия.

Для обеспечения возможности проведения подобных проверок, QSA-аудиторы должны сохранять полученные в ходе аудита свидетельства (схемы, документы, записи интервью, скриншоты и т. п.) не менее трех лет.

Открыто обсудить вопросы, связанные с качеством работы QSA можно здесь.

Статья в журнале «Плас»: http://www.plusworld.ru/journal/page163_1242.php после которой я просто не мог не высказаться.

Дело в том, что авторы статьи, являясь скорее всего юристами, не совсем понимают, как таковую, специфику проведения тестов на проникновение. Авторы не учитывают такой крайне важный факт, что в процессе активного аудита или тестов на проникновение аудиторы НЕ ПОЛУЧАЮТ непосредственно доступ к данным. И это наш основной принцип проведения данных работ. Да, действительно аудиторы проникают на сервер (информационную систему, базу данных и т.д.), но при этом они ни в коем случае не изучают непосредственно пользовательские данные, которые хранятся на сервере – они им просто не нужны. При этом служба безопасности может включить на сервере протоколирование действий аудиторов, чтобы была гарантия того, что критичные данные не были прочитаны. В любом случае повторю, что аудитор ни в коем случае не изучает непосредственно данные – они ему не нужны, а кроме того – он просто хочет спать спокойно (даже несмотря на подписанное соглашение о конфиденциальности). Поэтому коллизия, описанная в статье, на практике отсутствует. Не говоря уже о том, что тест на проникновение (как внешний, так и внутренний) является абсолютно обязательным для соответствия PCI DSS и обсуждение вопроса необходимости его проведения в данном контексте представляет собой не более чем академический интерес.

Если же абстрагироваться от PCI DSS, то, например, тест на проникновение интернет-банкинга с использованием двух моделей нарушителя (аноним и пользователь системы) выполняется исключительно в тестовой среде, где нет реальных данных. Ну а реплика в статье о, якобы, нарушении УК вызывает не более чем удивление.

Вывод. "Сложно найти черную кошку в темной комнате... особенно когда ее там нет". И от себя добавлю: "А тем более тогда, когда ты не знаешь, как именно выглядит кошка".

P.S.: данная заметка вызвала оживленную дискуссию на форуме: http://forum.pcidss.ru/index.php?topic=37.0

Книга является первым исследованием, написанным отечественным автором, которое посвящено проблеме безопасности СУБД Oracle. Материал книги основан на практическом опыте автора, полученном им в результате проведения тестов на проникновение, анализе защищённости бизнес-приложений и обширной исследовательской деятельности в области безопасности СУБД.

Автор книги - Александр Поляков, ведущий аудитор информационной безопасности компании Digital Security, является одним из основателей и руководителем исследовательского центра Digital Security Research Group [DSecRG], занимающегося поиском и анализом уязвимостей приложений и систем. Помимо этого, Александр входит в состав Экспертного Совета Сообщества PCIDSS.RU, а также является известным экспертом по безопасности бизнес-приложений, обнаружившим и опубликовавшим информацию о большом количестве уязвимостей в приложениях таких производителей, как Oracle, SAP и др.

Книга предназначена для специалистов по безопасности, сетевых администраторов, разработчиков и администраторов баз данных, а также всех тех, кто интересуется вопросами информационной безопасности.

Следует отметить, что второй части книги помимо различных методов защиты СУБД Oracle затронуты вопросы соответствия требованиям стандарта PCI DSS.

«Я уверен, что эта книга, основанная исключительно на практическом опыте автора из DSecRG, вызовет у вас безусловный интерес, предоставив обширный материал для размышлений о специфике защищенности систем управления базами данных», отметил Илья Медведовский, к.т.н., директор компании Digital Security.

Приобрести книгу можно в крупнейших книжных магазинах на территории РФ и интернет-магазинах.

Автор Сергей Шустиков

В России стало больше на одну компанию со статусом PCI-Compliant.

Digital Security завершила проект по подготовке к сертификации платежного шлюза PayOnline System, окончившийся успешным прохождением этой компанией сертификационного аудита, - сообщается в пресс-релизе.

PayOnline System входит в состав совместной российско-американской компании ITONLINE GROUP, которая специализируется на создании и продвижении крупных онлайн-проектов. PayOnline System – это современная российская система интернет-платежей. Вся информация о деятельности компании доступна на www.payonlinesystem.ru.

Ранее торгово-сервисным предприятиям второго уровня для подтверждения соответствия требовалось только ежегодная самооценка с заполнением опросного листа (SAQ).

Программа безопасности Site Data Protection международной платежной системы MasterCard направлена на повышение защищенности информационных систем организаций, так или иначе принимающих участие в обработке данных о держателях платежных карт. Основой программы является обязательное выполнение организациями требований стандарта PCI DSS и регулярное подтверждение статуса соответствия стандарту.

Я очень огорчаюсь, когда слышу от людей вещи, которые звучат вполне разумно, но при этом являются в корне неверными. На twitter.com и различных блогах по этой теме появилась дискуссия о том, что «соответствие PCI бесполезно, если компания, которая ему соответствует, была взломана». Видите, так правдоподобно и при этом так неправильно.

Исключения из правил

Мне кажется, что проблема этого утверждения в том, что произошедшее единожды может и не стать правилом. Говорить о том, что вся программа PCI неэффективна только потому, что одна компания была взломана, нелогично. Рассмотрим на примере ремней безопасности. В 1956 году Роберт Макнамара обязал всех использовать ремни безопасности в машинах с целью уменьшить количество смертей в автомобильных авариях. Большинство согласно с тем, что ремни безопасности спасают жизни и ими хорошо бы пользоваться. Ведь теперь, когда кто-то погибает в автомобильной аварии, даже будучи пристегнутым, мы же не заявляем, что ремни безопасности бесполезны. Я имею в виду, что хотя этот пристегнувшийся «кто-то» мертв, это не означает, что все ремни безопасности должны быть бесполезны. Это нелогично. Многие так называемые эксперты в области PCI соответствия и проникновений будут говорить вам об этом, используя эту неправильную логику, просто потому, что они не знакомы со всеми сложностями и надлежащим синтаксисом.

Соответствие и Подтверждение соответствия

Есть различия между «соответствием» и «подтверждением соответствия». Соответствие — состояние, которое необходимо поддерживать. Подтверждение соответствия — проверка состояния на определенный момент времени. Примером может служить страхование автомобилей. Я должен все время страховать свою машину согласно требованиям законодательства. При постановке на учет мне приходится представить документы, удостоверяющие то, что моя машина застрахована. Этим я подтверждаю то, что мои действия соответствуют законодательству. Если я решу прервать договор страхования, потому что это стоит слишком дорого, мои действия будут соответствовать законодательству? Нет. Хотя подтверждение соответствия на месте. Помните, подтверждение соответствия одномоментно, в то время как соответствие непрерывно.

Соответствие и Безопасность

Следует также отметить, что соответствие, даже продолжительное состояние соответствия, не означает безопасность, если оно не реализовано правильно. Если целью компании является проведение аудита для «галочки» и для достижения этой цели она ограничивается необходимым минимумом действий, вряд ли это означает надлежащее управление рисками и защиту данных о держателях платежных карт. Позвольте объяснить — я часто спрашиваю людей: «Можно ли использовать брандмауэр для сегментирования сети?». Все говорят: «ДА», — но они ошибаются. Только правильно настроенный брандмауэр можно использовать для сегментирования сети. Поэтому при проверке пункта, определяющего, что какой-либо объект выходит за границы проведения аудита, потому что сеть была сегментирована, нужно не забыть про вопрос: должным ли образом она была сегментирована?

Действительно ли вы выделили известные векторы атак?

Дополнительно можно привести в пример мотоциклетные шлемы. Не во всех штатах принят закон, обязывающий мотоциклистов ездить в мотоциклетных шлемах, а в некоторых разрешено использование его облегченной версии, которая только создает иллюзию соблюдения закона. Но почти все мотоциклисты согласятся, что такой шлем не дает никакой реальной защиты. Однажды специалист по безопасности сказал мне: «Мне нужен минимум, потому что я не получаю золотых звезд за слишком рьяное соответствие». Я помню это утверждение, потому что в тот момент я понял, что он не понимает разницы между соответствием и безопасностью.

Барак Обама сказал, что мы должны войти в «новую эру ответственности». Мы должны нести ответственность за защиту данных. Необходимо сфокусироваться на управлении рисками и начать заботиться о безопасности данных, вверенных нам нашими клиентами.