Блог

Опубликован стандарт PCI DSS версии 3.2

Автор: Кристина Андреева

Новая версия стандарта PCI DSS 3.2 уже опубликована на сайте Совета PCI SSC, в разделе https://www.pcisecuritystandards.org/document_library. Что касается нововведений, то они затронули как недостатки терминологии, так и существующие требования стандарта PCI DSS к обеспечению информационной безопасности. Многие обновления просто усилили акцент на определенных ранее существовавших требованиях.

Незначительной новинкой является смена терминологии стандарта на более корректную: двухфакторную аутентификацию заменила мультифакторная. Использование двух факторов аутентификации как минимум по-прежнему необходимо. При этом Советом введен следующий акцент: мультифакторная аутентификация должна обеспечиваться при удаленном подключении любого пользователя, даже не обладающего административными правами доступа, а также при осуществлении любого неконсольного административного доступа из любого сегмента сети организации.

Все процедуры внесения значительных изменений в информационную инфраструктуру организаций должны сопровождаться обновлением сопутствующих документов и применением к измененным компонентам требований стандарта PCI DSS. Например, обновление схемы сети и потоков данных, добавление нового IP-адреса в список адресов для сканирования и подобные процедуры. Таким образом требование стандарта адресует риск нарушения соответствия в случае внесения изменений в информационную инфраструктуру.

Что касается значимых нововведений, они в основном коснуться поставщиков услуг. Поставщикам услуг теперь следует подробно документировать описание своей криптографической архитектуры: описание используемых алгоритмов, протоколов шифрования и процедур управления ключами. Разумеется, если в инфраструктуре такая архитектура отсутствует, никаких дополнительных манипуляций от организации не потребуется.

Все сбои в работе систем контроля защищенности по новым требованиям стандарта должны быть вовремя обнаружены поставщиком услуг и должным образом обработаны. Если говорить более простым языком, в случае, если произошел сбор, к примеру, в работе IDS-системы, факт сбоя должен быть своевременно обнаружен, зарегистрирован и обработан, при этом на время простоя работниками организации должны быть предприняты все необходимые меры по снижению рисков информационной безопасности, которые могут возникнуть. Для этого должна быть разработана и внедрена соответствующая процедура.

Для поставщиков услуг стали обязательны пентесты в части сегментации сети с периодичностью не реже одного раза в шесть месяцев, а также ряд других мер по усилению защищенности их инфраструктур. Не реже одного раза в три месяца каждый поставщик услуг должен будет выполнять следующие проверки:

- проверка выполнения процедуры анализа логов;
- пересмотр правил межсетевого экранирования;
- проверка применения стандартов конфигураций к новым компонентам информационной инфраструктуры;
- проверка должного реагирования на сигналы тревоги систем безопасности;
- проверка соблюдения процедуры управления изменениями;

Результаты каждой проводимой проверки обязательно должны быть задокументированы.

Станет обязательным и наличие у каждого поставщика услуг программы поддержания соответствия требованиям стандарта PCI DSS, которая должна включать в себя следующие мероприятия:

- порядок выполнения постоянного мониторинга соответствия;
- порядок выполнения регулярных процедур;
- порядок выполнения ежегодных проверок;
- порядок оценки влияния стандарта PCI DSS на бизнес-решения.

Программа должна быть разработана с учетом лучших практик индустрии (цикл PDCA, стандарт ISO 27001, COBIT и другие), а работник, ответственный за ее выполнение, должен докладывать о статусе соответствия организации непосредственному руководству.

Однако, все новые требования стандарта будут обязательны к выполнению с 1 февраля 2018 года, а до этой даты рекомендуется морально готовиться и осуществлять их плавное внедрение.

В стандарт также добавлены два приложения — А2 и А3. Приложение А2 включило в себя требования по обеспечению безопасной работы с небезопасными версиями протоколов SSL 3.0 и TLS 1.0. Напомним, что любая организация, использующая небезопасные версии протоколов, должна составить План перехода на безопасные версии протоколов, включающий в себя мероприятия по снижению рисков, и поддерживать его соблюдение.

Приложение A3 под названием «Designated Entities Supplemental Validation» содержит ряд требований уже существующего документа Совета с одноименным названием к организациям зоны повышенного риска.

Версия стандарта PCI DSS 3.1 будет действовать до конца 28 октября 2016 года. До этой даты можно будет проводить аудит организации на соответствие требованиям стандарта PCI DSS версии 3.1 или 3.2 в зависимости от предпочтений.

0

Добавить комментарий