Безопасность платежных карт: решения Novell

Продолжение. Начало в ДИС №6 '2007 г.

Огромное число случаев, связанных с кражей сведений о платежных карточках, привело к необходимости срочных ответных мер, направленных на усиление безопасности данных. В качестве такой меры компании, занимающиеся платежными карточками, разработали Payment Card Industry Data Security Standard (PCI-DSS).

Контрольная цель №4. Реализация строгих мер по контролю доступа

Самая важная контрольная цель PCI-DSS связана с системным доступом и определяет, как ритейлеры должны регулировать повседневное взаимодействие с системами:

  • ограничить доступ к данным, основываясь на необходимости выполнения бизнес-задач;
  • обеспечить каждого сотрудника организации уникальным управляемым и аудируемым идентификатором;
  • управлять физическим доступом к системным компонентам так же строго, как доступом к сети.

PCI-DSS требует от ритей-леров назначать уникальные идентификаторы каждому сотруднику или устройству, получающему доступ к какой-либо из систем, содержащих или передающих данные владельца карты. PCI-DSS охватывает все аспекты управления идентификацией и управления доступом – от логического доступа к приложениям до физического доступа в определенные помещения.


Валерий Елизарьев, директор представительства Novell в Украине

Основной задачей организаций становится интеграция центральной БД управления идентификацией с другими инструментами управления безопасностью. "Кто" (люди и машины), "что" (хранилища данных) и "как" (роли и правила доступа) должны работать в едином интегрированном, централизованно управляемом решении. Оно должно формировать доступ, основанный на ролях и на необходимости сотрудников иметь доступ к определенным хранилищам данных.

Требование №7:
Ограничить доступ к данным держателя карты по принципу служебной необходимости.

Доступ к данным держателя карты должен ограничиваться кругом сотрудников, которым эта информация необходима. Многие положения PCI-DSS требуют установить по умолчанию статус deny all ("запрещено для всех") с тщательно контролируемыми исключениями. Решения Novell полностью поддерживают эту модель.

Требование №8:
Назначить уникальный идентификатор каждому, кто имеет доступ к компьютерным системам.


Доступ к системам и данным по принципу служебной необходимости невозможен без надежного управления идентификацией. Ритейлеры с большим количеством сетевых узлов, пользователей, систем, баз данных и приложений должны внедрить централизованное решение для управления идентификацией. PCI-DSS предъявляет некоторые специфические требования к управлению идентификацией:

  • уникальные имена для всех пользователей;
  • пароли, токены или средства биометрического контроля для локального доступа;
  • двухфакторная аутентификация для удаленного доступа сотрудников, администраторов и третьих лиц;
  • шифрование паролей на время их передачи по сети;
  • централизованное и контролируемое управление идентификаторами пользователей с соответствующими процедурами и/или автоматизированное управление.

Требование №9:
Ограничитьфизическийдоступ к данным держателя карты.

Контроль физического доступа к данным держателя карты не менее важен, чем контроль сетевого доступа. Требования PCI-DSS включают ряд специфических предписаний по доступу к физическим компонентам системы. В их числе:

  • использование токенов или карт для доступа в защищенные помещения;
  • регистрация и аудит доступа в защищенные помещения.

Решение PCI-DSS Novell Novell Identity Manager берет на себя задачу идентификации всех сотрудников организации, а также внешних партнеров, которым необходимы права доступа к данным. Novell Sentinel контролирует, проверяет и регистрирует всю деятельность, связанную с предоставлением доступа и исключениями. В совокупности эти решения становятся краеугольным камнем эффективного и рационального соблюдения PCI-DSS.

Необходимо тестировать и проверять системы, взаимодействующие с данными владельца карты, чтобы можно было надежно доказать: защита данных правильно реализована и системы функционируют именно так, как было запланировано. Поскольку этот вид проверки безопасности часто упускают из виду, PCI-DSS требует контроля и регистрации доступа к системам, взаимодействующим с данными держателя карты, а также проведения тестов, которые гарантировали бы, что меры безопасности функционируют должным образом. Чтобы выполнить это требование чрезмерной нагрузки на ИТ-персонал, важно внедрить решение, которое обеспечивало бы тесную интеграцию систем контроля доступа, оповещения и формирования отчетов.

Требование №10:
Контролировать и регистрировать доступ к сетевым ресурсам и данным держателя карты.


PCI-DSS требует контроля и управления доступом вплоть до самых нижних уровней, включая регистрацию входов системного администратора (root) на серверы, его доступа к базам данных и даже к регистрационным файлам, в которых хранится информация о доступе. Для этих требований необходима разветвленная инфраструктура мониторинга.

Требование №11:
Регулярно проверять системы и процессы обеспечения безопасности.


Предписывается периодическая проверка развернутых систем безопасности, включая системы выявления вторжений (IDS) и системы контроля доступа. Такие проверки помогут убедиться в том, что эти системы функционируют должным образом и что в средствах контроля и ограничения доступа нет нестыковок. Решение PCI-DSS Novell Novell Sentinel предоставляет все инструменты, необходимые для контроля над брандмауэрами, IDS-системами, приложениями, антивирусными системами и сетями.

Sentinel может генерировать оповещения, формировать отчеты аудита и агрегировать информацию для автоматизированного анализа и реагирования. Данные из сканеров уязвимостей также могут быть направлены в Sentinel для поиска возможных ошибок в конфигурации систем безопасности.



Продолжение в следующем номере

2008.02.25
19.03.2009
В IV квартале 2008 г. украинский рынок серверов по сравнению с аналогичным периодом прошлого года сократился в денежном выражении на 34% – до $30 млн (в ценах для конечных пользователей), а за весь календарный год – более чем на 5%, до 132 млн долл.


12.03.2009
4 марта в Киеве компания Telco провела конференцию "Инновационные телекоммуникации", посвященную новым эффективным телекоммуникационным технологиям для решения задач современного бизнеса.


05.03.2009
25 февраля в Киеве компания IBM, при информационной поддержке "1С" и Canonical, провела конференцию "Как сохранить деньги в условиях кризиса?"


26.02.2009
18-19 февраля в Киеве прошел юбилейный съезд ИТ-директоров Украины. Участниками данного мероприятия стали ИТ-директора, ИТ-менеджеры, поставщики ИТ-решений из Киева, Николаева, Днепропетровска, Чернигова и других городов Украины...


19.02.2009
10 февраля в Киеве состоялась пресс-конференция, посвященная итогам деятельности компании "DiaWest – Комп’ютерний світ" в 2008 году.


12.02.2009
С 5 февраля 2009 г. в Киеве начали работу учебные курсы по использованию услуг "электронного предприятия/ учреждения" на базе сети информационно-маркетинговых центров (ИМЦ).


04.02.2009
29 января 2009 года в редакции еженедельника "Computer World/Украина" состоялось награждение победителей акции "Оформи подписку – получи приз!".


29.01.2009
22 января в Киеве компания "МУК" и представительство компании Cisco в Украине провели семинар для партнеров "Обзор продуктов и решений Cisco Small Business"

 

 
 
Copyright © 1997-2008 ИД "Комиздат".