02.08.2016

Обеспечение соответствия стандарту PCI DSS 3.0

Третья версия стандарта безопасности данных индустрии платежных карт (Payment Card Industry Data Security Standard, PCI DSS) содержит ряд новых, более жестких требований. Организации должны самостоятельно определять границы своей среды данных о держателях карт (Cardholder Data Environment, CDE), перепроверять сегментацию после любых существенных изменений и быть в состоянии продемонстрировать, что задачи обеспечения соответствия этому стандарту являются органичной частью бизнес-процессов. RedSeal — идеальное решение, позволяющее успешно справиться с новыми вызовами. В его состав входят уникальные элементы управления и инструменты, с помощью которых десятки организаций смогут эффективно решать задачи в области обеспечения соответствия.

КЛЮЧЕВЫЕ ТРЕБОВАНИЯ PCI DSS 3.0

Регулярное соблюдение и контроль процедур безопасности в текущей работе (Business as Usual)

К сожалению, многие организации до сих пор рассматривают PCI как проверку, которую нужно пройти один раз в год и на время забыть. За несколько недель до ежегодного аудита они тщательно все проверяют, но в дальнейшем не используют ни один из показателей и элементов управления. Неудивительно, что на момент выявления нарушений в системе безопасности бизнес-процессы таких организаций обычно не в полной мере соответствуют требованиям PCI. Требование «Business as Usual» подразумевает регулярное выполнение и контроль процедур безопасности в операционном режиме, то есть в рамках обычных бизнес-процессов.

Охват и сегментация

В стандарте PCI 3.0 дано четкое определение приемлемой сегментации среды данных о держателях карт, что позволяет предотвратить разночтения и небезопасные реализации стандарта. Совет по стандартам безопасности индустрии платежных карт включил в версию 3.0 более строгое определение сегментации, которая стала ближе к изоляции. Организациям придется приложить немало усилий, чтобы разработать стратегию и реализовать действительно безопасную сегментацию.

Расширенное тестирование на предмет проникновения в систему

Стандарт PCI 2.0 требовал проводить тесты на проникновение раз в год, а также при внесении «существенных изменений».
К сожалению, многие организации, стремясь сэкономить время и средства на проведение этих тестов, трактовали «серьезность» изменений в свою пользу, сегментацию же не тестировали вовсе. Поэтому в PCI 3.0 был существенно расширен перечень факторов, обусловливающих необходимость тестирования на проникновение. Теперь следует повторно проверять периметр сегментации среды данных о держателях карт «после внесения любых изменений в элементы управления или методы сегментации».

ОСНОВНЫЕ ОСОБЕННОСТИ

PCI 3.0 предъявляет новые требования к постоянному контролю, расширенной сегментации сети и тестам на проникновение. RedSeal поможет вам обеспечить соблюдение новых требований:

  • Предоставит элементы управления PCI для всестороннего анализа сегментации, межсетевого экранирования и архитектуры демилитаризованной зоны (DMZ) практически без дополнительных эксплуатационных затрат.
  • Позволит снизить затраты на проведение тестов на проникновение в соответствии с PCI и минимизировать число операций, выполняемых вручную.
  • Поможет реализовать необходимые элементы управления в соответствии с новым требованием «Business as Usual», включенным в PCI 3.0.

ПРЕИМУЩЕСТВА REDSEAL

RedSeal — эффективное решение для проверки элементов управления сетью и приоритизации уязвимостей. Анализируя конфигурации устройств на третьем сетевом уровне, решение непрерывно и точно оценивает эффективность сегментации сети и выявляет любые отклонения от политики, чтобы вы могли незамедлительно устранить их. Решение обеспечивает недостижимый иным способом уровень прозрачности в отношении политики доступа к сети, даже насчитывающей десятки тысяч устройств.

RedSeal сопоставляет собственные результаты анализа параметров сети с данными ведущих поставщиков, выполняющих сканирование уязвимостей. Это позволяет приоритизировать восстановительные мероприятия. При проведении внутреннего и внешнего сканирования любой сложной сети выявляется большое количество уязвимостей. Одной из главных задач является определение первоочередных проблем, решение которых позволит минимизировать риск. RedSeal анализирует возможные последствия использования злоумышленниками любой из обнаруженных уязвимостей и предоставляет специалистам по безопасности план действий по управлению рисками с указанием их приоритетов.

Другие важные преимущества RedSeal: создание и актуализация карты сетевой архитектуры и ведомости устройств, применение передовых практик для оптимизации настроек широкого круга сетевых устройств.

ЭФФЕКТИВНЫЙ ПОДХОД К ОБЕСПЕЧЕНИЮ СООТВЕТСТВИЯ ТРЕБОВАНИЯМ PCI 3.0 ПРИ ПОМОЩИ РЕШЕНИЯ REDSEAL

Уникальные функции RedSeal позволят повысить эффективность мероприятий в сфере аудита и контроля соответствия, особенно в таких областях, как изоляция сети и межсетевого экрана, тестирование на проникновение и устранение уязвимостей. RedSeal поддерживает 37 элементов управления PCI, относящихся к следующим требованиям DSS 3.0:

Требование 1: конфигурация межсетевого экрана
Требование 2: пароли и другие системные параметры, заданные производителем по умолчанию
Требование 6: безопасные системы
Требование 8: определение и подтверждение доступа
Требование 11: регулярное тестирование

Кроме того, RedSeal помогает соблюсти требование «Business as Usual», обеспечивая непрерывный контроль параметров сети, ее ежедневный анализ и проверку сегментации. Помимо этого, RedSeal следует рекомендациям по формированию одной выборки, что позволяет уменьшить масштаб и охват аудита PCI.

RedSeal — единственное решение, позволяющее непрерывно контролировать изоляцию сети в соответствии с PCI DSS в оперативном режиме.

Список элементов управления и поддерживаемых требований приведен в документе.